k8s中的资源

Kubernetes简介

Kubernetes(简称K8s)是一个开源的容器编排平台，用于自动化部署、扩展和管理容器化应用程序，它最初是由Google设计并开发的，后来成为云原生计算基金会(CNCF)的一部分，Kubernetes可以帮助开发者和运维人员更轻松地管理和监控容器化应用程序，从而提高开发效率和系统可靠性。

Kubernetes资源控制概述

在Kubernetes中，资源控制是非常重要的一个概念，资源包括CPU、内存、存储等，通过资源控制，可以实现对集群中各个节点的资源分配和限制，从而保证应用程序的性能和稳定性，Kubernetes提供了多种资源对象，如Pod、ReplicationController、Deployment等，以及相应的控制器，如ReplicaSet、DeploymentController等，用于管理这些资源对象。

Kubernetes资源控制方法

1、使用ResourceQuota

ResourceQuota是Kubernetes中的一个资源配额对象，用于限制命名空间中的资源使用量，通过ResourceQuota,可以为用户或团队设置资源使用上限，以防止过度消耗集群资源，ResourceQuota可以限制CPU、内存、存储等多种资源的使用量。

2、使用LimitRanger

LimitRanger是Kubernetes中的一个控制器，用于限制节点上的资源使用，LimitRanger会根据用户的配置文件或者自定义规则，为节点添加资源限制，这样，即使用户没有在ResourceQuota中设置限制，也可以保证节点上的资源不会被滥用。

3、使用PodSecurityPolicy

PodSecurityPolicy(PSP)是Kubernetes中的一个策略对象，用于限制容器的权限，通过PSP,可以为用户或团队设置安全策略，例如禁止运行某些类型的容器、限制容器之间的网络访问等，PSP可以确保集群中的应用程序遵循一定的安全规范，从而降低潜在的安全风险。

4、使用NetworkPolicy

NetworkPolicy是Kubernetes中的一个策略对象，用于控制网络流量，通过NetworkPolicy,可以为用户或团队设置网络访问规则，例如允许或拒绝特定IP地址的访问、限制特定端口的通信等，NetworkPolicy可以确保集群中的应用程序之间的网络通信符合预期，从而提高系统的安全性和可靠性。

相关问题与解答

1、如何为命名空间设置资源配额？

答：可以使用kubectl create resourcequota命令为命名空间创建ResourceQuota对象。

kubectl create resourcequota my-namespace --hard=cpu=500m,memory=512Mi --scopes=pods

这个命令将为名为my-namespace的命名空间创建一个ResourceQuota对象，限制每个Pod最多使用500毫核的CPU和512兆字节的内存，该ResourceQuota仅适用于Pod资源。

2、如何为节点添加资源限制？

答：可以使用kubectl create limitrange命令为节点创建LimitRanger对象。

kubectl create limitrange disk1 --min=10Gi --max=100Gi --default=10Gi --type=ContainerDisk

这个命令将为节点创建一个LimitRanger对象，限制节点上磁盘的大小范围，默认情况下，节点上只能有一个磁盘分区大小在10到100 GiB之间，如果需要修改默认限制，可以在创建LimitRanger对象时指定--default参数。

3、如何为容器设置安全策略？

答：可以使用kubectl apply -f psp.yaml命令为命名空间创建PodSecurityPolicy对象。

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: example-psp
spec:
  privileged: false  是否允许特权容器运行
  seLinux:
    rule: RunAsAny  是否允许SELinux策略宽松运行
  supplementalGroups:
    rule: MustRunAs ""  是否允许SupplementalGroups策略宽松运行
  runAsUser:  是否允许RunAsUser策略宽松运行
    fsGroup: ""  是否允许FSGroup策略宽松运行
    uid: ""  是否允许UID策略宽松运行

这个YAML文件定义了一个简单的PodSecurityPolicy对象，禁止特权容器运行，并设置了SELinux策略、SupplementalGroups策略和RunAsUser策略的宽松运行规则，可以将这个文件保存为psp.yaml,然后使用kubectl apply -f psp.yaml命令将其应用到命名空间。