细说KubernetesPod的驱逐

　　!!  大家好，我是乔克，一个爱折腾的运维工程，一个睡觉都被自己丑醒的云原生爱好者。
　　作者：乔克
　　公众号：运维开发故事
　　博客：www.jokerbai.com
　　❝
　　原文：https://sysdig.com/blog/kubernetes-pod-evicted/
　　作者：JAVIER MARTÍNEZ
　　Kubernetes Pods被驱逐是什么意思？它们被终止了，通常是由于没有足够的资源，但是为什么会发生这种情况呢？
　　驱逐是一个过程，分配给一个节点的Pod被要求终止。Kubernetes中最常见的情况之一是抢占，为了在资源有限的节点上安排一个新的Pod，通常需要终止另外一个Pod。
　　另外，Kubernetes会不断检查资源使用情况，当节点压力过大的时候，会触发节点压力驱逐。
　　每天，数以千计的Pod被驱逐出他们的家园。搁浅和迷茫，他们不得不放弃以前的生活方式。他们中的一些人甚至会无家可归。当前的社会，对CPU和内存的要求会越来越高。
　　本篇文章将从以下几个方面来展开介绍：Pod被驱逐的原因：抢占和节点压力抢占式驱逐Pod优先级类节点压力驱逐服务质量类其他类型的驱逐Prometheus中的Kubernetes Pod驱逐监控Pods被驱逐的原因：抢占和节点压力
　　Kubernetes中发生Pod驱逐的原因有几个，最重要的原因是：抢占节点压力驱逐抢占驱逐
　　抢占的过程如下：如果一个新的Pod需要被调度，但没有任何合适的节点有足够的资源，那么kube-scheduler将检查是否通过驱逐（终止）一些优先级较低的Pod，用来保障新的Pod可以调度。
　　让我们先了解一下Kubernetes调度是如何工作的。Pod调度
　　Kubernetes调度是将Pod分配给节点的过程。
　　默认情况下，有一个负责调度的Kubernetes实体，称为kube-scheduler，它将在控制平面上运行。Pod将在Pending状态下开始，直到找到一个匹配的节点。
　　将一个Pod分配给一个节点的过程遵循这个顺序。预选打分预选
　　在预选过程中，kube-scheduler将选择当前Pod可能被放置的所有节点。这里将考虑到污点和容忍度等特征。一旦完成，它将有一个适合该Pod的节点列表。打分
　　在打分过程中，kube-scheduler将从上一步得到的列表中，给每个节点分配一个分数。这样一来，候选节点就会从最合适到最不合适排序。如果两个节点有相同的分数，kube-scheduler会将它们随机排序。image.png
　　但是，如果没有合适的节点让Pod运行，会发生什么？在这种情况下，Kubernetes将启动抢占程序，试图驱逐低优先级的Pod，以便分配新的Pod。Pod Priority Class
　　怎样才能防止某个特定的Pod在抢占过程中被驱逐？有时候，一个特定的Pod对你来说是至关重要的，不应该被终止。
　　这就是为什么Kubernetes具有Priority Class。
　　Priority Class是一个Kubernetes对象，允许我们将数字优先级值映射到特定的Pod。那些数值较高的被归类为更重要，不太可能被驱逐。
　　你可以通过以下方式查询当前的Priority Class。 kubectl get priorityclasses
　　kubectl get pc
　　NAME VALUE GLOBAL-DEFAULT AGE
　　system-cluster-critical 2000000000 false 2d
　　system-node-critical 2000001000 false 2d
　　测试Priority Class
　　这里有三个Pod：blueberry, raspberry 和 strawberry。 NAME READY STATUS RESTARTS AGE
　　blueberry 1/1 Running 0 4h41m
　　raspberry 1/1 Running 0 58m
　　strawberry 1/1 Running 0 5h22m
　　还有两个Priority Class：trueberry和falseberry。其中trueberry拥有比较高的优先级。 apiVersion: scheduling.k8s.io/v1
　　kind: PriorityClass
　　metadata:
　　name: trueberry
　　value: 1000000
　　globalDefault: false
　　description: ＂This fruit is a true berry＂
　　apiVersion: scheduling.k8s.io/v1
　　kind: PriorityClass
　　metadata:
　　name: falseberry
　　value: 5000
　　globalDefault: false
　　description: ＂This fruit is a false berry＂
　　blueberry将使用trueberryraspberry和strawberry将使用ffalseberry
　　这意味着在发生抢占的情况下，raspberry和strawberry更有可能被驱逐，以便为更高优先级的Pod腾出空间。
　　然后通过在Pod定义中加入优先级类别，将其分配给Pod。 priorityClassName: trueberry
　　现在让我们试着再增加三种水果：所有的新水果将包含更高的优先级类，称为trueberry。
　　由于这三个新的水果对内存或CPU的要求是节点无法满足的，kubelet会驱逐所有比新水果优先级低的Pod。Blueberry保持运行，因为它有更高的优先级。 NAME READY STATUS RESTARTS AGE
　　banana 0/1 ContainerCreating 0 2s
　　blueberry 1/1 Running 0 4h42m
　　raspberry 0/1 Terminating 0 59m
　　strawberry 0/1 Terminating 0 5h23m
　　tomato 0/1 ContainerCreating 0 2s
　　watermelon 0/1 ContainerCreating 0 2s
　　image.png
　　最终结果如下： NAME READY STATUS RESTARTS AGE
　　banana 1/1 Running 0 3s
　　blueberry 1/1 Running 0 4h43m
　　tomato 1/1 Running 0 3s
　　watermelon 1/1 Running 0 3s
　　节点压力驱逐
　　除了抢占之外，Kubernetes还不断检查节点资源，如磁盘压力、CPU或内存不足（OOM）。
　　如果节点的资源（如CPU或内存）消耗达到一定的阈值，Kubelet将开始驱逐Pod，以释放资源。服务质量（QoS）将被纳入考虑范围，以确定驱逐顺序。服务质量QoS
　　在Kubernetes中，Pod被赋予三种QoS类别之一，这将定义它们在缺乏资源的情况下被驱逐的可能性。这三种QoS分别是：GuaranteedBurstableBestEffort
　　这些QoS类别是如何分配给Pod的？这是基于对CPU和内存的限制和请求。limits：一个容器可以使用的资源的最大数量。requests：容器运行所需的最小资源量。image.pngGuaranteed
　　如果一个Pod被分配了一个Guaranteed的QoS等级，它们的特征如下：Pod中的所有容器都为CPU和内存设置了限制和请求。在Pod中的所有容器都有相同的CPU限制和CPU请求的值。Pod中的所有容器都有相同的内存限制和内存请求值。
　　一个有保证的Pod在正常情况下不会被驱逐以分配给节点中的另一个Pod。Burstable
　　如果一个Pod的QoS等级为Burstable，那么它将被分配到一个QoS等级。它没有担保的QoS等级。为Pod中的一个容器设置了限制或请求。
　　一个Burstable Pod可以被驱逐，但比下一个类别的可能性小。BestEffort
　　一个Pod将被分配一个BestEffort的QoS类别，它们将：没有为Pod中的任何容器设置限制和请求。
　　BestEffort Pod在节点中发生节点压力过程的情况下具有最高的驱逐机会。❝
　　重要的是：在限制和请求中可能有其他可用的资源，如短暂的存储，但它们不用于QoS类的计算。image.png
　　如前所述，QoS类将被纳入节点压力驱逐的考虑范围。以下是内部发生的过程。
　　kubelet按照以下顺序排列要被驱逐的Pod。使用量超过请求的BestEffort Pods或Burstable Pods使用量低于请求的Burstable Pods或Guaranteed Pods
　　Kubernetes将尝试在第二组之前驱逐第一组的Pod。
　　从上述内容中得到的一些启示。如果在你的容器中添加了非常低的请求，他们的Pod可能会被分配到组1，这意味着它更有可能被驱逐。你无法知道哪个特定的Pod会被驱逐，只是Kubernetes会尝试在第2组之前驱逐第1组的Pod。有保证的Pod通常不会被驱逐：Kubelet不会为了安排其他Pod而驱逐它们。但是，如果一些系统服务需要更多的资源，kubelet将在必要时终止有保证的Pod，并且总是以最低的优先级。其他类型的驱逐
　　本文主要介绍抢占和节点压力驱逐，但Pod也可以通过其他方式被驱逐。例子包括。API发起的驱逐
　　你可以通过使用Kubernetes Eviction API【1】请求对你的一个节点中的Pod进行按需驱逐。基于污点的驱逐
　　通过Kubernetes污点和容忍度，可以指导你的Pod应该如何分配给Node。但是，如果你将NoExecute污点应用于现有的Node，所有不容忍它的Pod将被立即驱逐。节点排水
　　有些时候，节点变得无法使用，或者你不想再在上面工作。命令kubectl cordon可以防止新的Pod被安排在它上面，但也有可能一次性完全清空所有当前Pod。如果你运行kubectl drain nodename，该节点中的所有Pod将被驱逐，尊重其优雅的终止期。Kubernetes Pod驱逐监控
　　在你的云解决方案中，你可以使用Prometheus来轻松监控Pod驱逐的做法。 kube_pod_status_reason{reason=＂Evicted＂} > 0
　　image.png
　　这将显示你的集群中所有被驱逐的Pod。你也可以将其与kube_pod_status_phase{phase=＂Failed＂}配对，以提醒那些在Pod发生故障后被驱逐的人。
　　如果你想深入了解，请查看以下关于Prometheus中监控资源的文章。
　　如何合理调整Kubernetes的资源限制【1】 Kubernetes容量规划：如何合理安排你的集群的请求【2】总结
　　正如你所看到的，驱逐只是Kubernetes的另一个功能，它允许你控制有限的资源：在这种情况下，Pod将使用的节点。
　　在抢占期间，Kubernetes将试图通过驱逐优先级较低的Pod来释放资源，以安排一个新的Pod。通过优先级类，你可以控制哪些Pod更有可能在抢占后继续运行，因为它们被驱逐的可能性较小。
　　在执行过程中，Kubernetes将检查节点压力，并在需要时驱逐Pod。通过QoS类，你可以控制哪些Pod在节点压力的情况下更有可能被驱逐。
　　内存和CPU是节点中的重要资源，你需要配置你的Pod、容器和节点来使用它们的正确数量。如果你对这些资源进行相应的管理，不仅可以节省成本，而且还可以确保重要的进程无论如何都能继续运行。文档
　　【1】https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.25/#create-eviction-pod-v1-core
　　【1】https://sysdig.com/blog/kubernetes-resource-limits/
　　【2】https://sysdig.com/blog/kubernetes-capacity-planning/
　　最后，求关注。 如果你还想看更多优质原创文章，欢迎关注我们的公众号「 运维开发故事」。
　　如果我的文章对你有所帮助，还请帮忙一下，你的支持会激励我输出更高质量的文章，非常感谢！
　　你还可以把我的公众号设为「星标」，这样当公众号文章更新时，你会在第一时间收到推送消息，避免错过我的文章更新。