K
K
Kumu's wiki
搜索文档…
亲和性和反亲和性
通过 Kubernetes 你可以将一个 pod 限制或倾向于在某些特定节点运行。有几种方式可以达到这个目的,它们都通过 label selectors 进行选择。通常情况下,这样的约束是不必要的,因为调度程序会自动进行合理的调度(如通过一系列的评分机制将 pods 合理分配到最优节点上,而不会将 pod 分配在没有足够资源的节点上等)。但是在某些情况下,可能需要更多的策略控制,例如,将 pod 调度到 SSD 的计算节点上,或者将两个通信比较频繁的不同服务 pod 调度到同一个可用域。
labels 在 K8s 中是一个很重要的概念,作为一个标识,Service、Deployments 和 Pods 之间的关联都是通过 label 来实现的。而每个节点也都拥有 label,通过设置 label 相关的策略可以使得 pods 关联到对应 label 的节点上。

nodeSelector

nodeSelector 是最简单的约束方式。nodeSelector 是 PodSpec 的一个字段。
通过 --show-labels 可以查看当前 nodes 的 labels
1
$ kubectl get nodes --show-labels
2
NAME STATUS ROLES AGE VERSION LABELS
3
minikube Ready <none> 1m v1.10.0 beta.kubernetes.io/arch=amd64,beta.kubernetes.io/os=linux,kubernetes.io/
4
hostname=minikube
Copied!
如果没有额外添加 nodes labels,那么看到的如上所示的默认标签。我们可以通过 kubectl label node 命令给指定 node 添加 labels
1
$ kubectl label node minikube disktype=ssd
2
node/minikube labeled
3
$ kubectl get nodes --show-labels
4
NAME STATUS ROLES AGE VERSION LABELS
5
minikube Ready <none> 5m v1.10.0 beta.kubernetes.io/arch=amd64,beta.kubernetes.io/os=linux,disktype=ssd,kubernetes.io/hostname=minikube
Copied!
当然,你也可以通过 kubectl label node 删除指定的 labels(标签 key 接 - 号即可)
1
$ kubectl label node minikube disktype-
2
node/minikube labeled
3
$ kubectl get node --show-labels
4
NAME STATUS ROLES AGE VERSION LABELS
5
minikube Ready <none> 23m v1.10.0 beta.kubernetes.io/arch=amd64,beta.kubernetes.io/os=linux,kubernetes.io/hostname=minikube
Copied!
创建测试 pod 并指定 nodeSelector 选项绑定节点:
1
$ cat nginx.yaml
2
apiVersion: v1
3
kind: Pod
4
metadata:
5
name: nginx
6
labels:
7
env: test
8
spec:
9
containers:
10
- name: nginx
11
image: nginx
12
imagePullPolicy: IfNotPresent
13
nodeSelector:
14
disktype: ssd
15
$ kubectl create -f nginx.yaml
16
pod/nginx created
Copied!
查看 pod 调度的节点,即我们指定有 disktype=ssd label 的 minikube 节点:
1
$ kubectl get pods -o wide
2
NAME READY STATUS RESTARTS AGE IP NODE
3
nginx 1/1 Running 0 1m 172.18.0.4 minikube
Copied!
nodeSelector 可以很方便的解决以上比较简单的需求,但是它还不够灵活。比如我想以机架为单位,部署的服务可以很好的分散在不同机架的服务器上,此时 nodeSelector 就并不是那么管用了。因此,Kubernetes 引入了亲和性和反亲和性概念。

亲和性和反亲和性(Affinity and anti-affinity)

affinity/anti-affinity 特性还处于 beta 状态,相比 nodeSelector 来说有几点优势:
    1、提供更多的表示式(不仅仅是 and 匹配)
    2、可以指定 “软” 规则限制而不仅仅是硬限制,因此即使调度器不能满足它的规则,也可以正常调度 pod
    3、可以针对 node 上运行的 pods 指定 labels,而不仅仅局限于 node 本身
affinity 特性拥有两种类型,一种是 node affinity,一种是 pod affinity/anti-affinity。node affinity 类似 nodeSelector,但同时拥有上文提到的 1、2 两点优势,pod affinity/anti-affinity 针对 pods 指定 labels,同时拥有以上三点优势。

Node affinity

K8s 在 1.2 的时候以 alpha 的特性引入 node affinity。node affinity 通过 node labels 约束 pod 调度节点。Node affinity 有两种类型:
    requiredDuringSchedulingIgnoredDuringExecution (硬限制,同 nodeSelector
    preferredDuringSchedulingIgnoredDuringExecution (软限制)
看以下例子:
1
apiVersion: v1
2
kind: Pod
3
metadata:
4
name: with-node-affinity
5
spec:
6
affinity:
7
nodeAffinity:
8
requiredDuringSchedulingIgnoredDuringExecution:
9
nodeSelectorTerms:
10
- matchExpressions:
11
- key: kubernetes.io/e2e-az-name
12
operator: In
13
values:
14
- e2e-az1
15
- e2e-az2
16
preferredDuringSchedulingIgnoredDuringExecution:
17
- weight: 1
18
preference:
19
matchExpressions:
20
- key: another-node-label-key
21
operator: In
22
values:
23
- another-node-label-value
24
containers:
25
- name: with-node-affinity
26
image: k8s.gcr.io/pause:2.0
Copied!
以上规则表达的意思是,该 Pod 只能被调度到拥有 kubernetes.io/e2e-az-name=e2e-az1 或者 kubernetes.io/e2e-az-name=e2e-az2 标签的节点上,其中在满足之前标签条件的同时更倾向于调度在拥有 another-node-label-key=another-node-label-value 标签的节点上。
新的 node affinity 支持 InNotInExistsDoesNotExistGtLt 操作符。可以使用 NotInDoesNotExist 来实现反亲和性,也可以通过 node taints 来实现。
如果同时指定 nodeSelectornodeAffinity,两者同时满足才会被调度。如果 nodeAffinity 中指定了多个 nodeSelectorTerms,只要满足其中一个 nodeSelectorTerms 匹配条件即可调度。如果 nodeSelectorTerms 中有多个 matchExpressions,那么自由满足所有的条件才会被调度。

Pod affinity and anti-affinity

pod 亲和性和反亲和性在 K8s 1.4 版本引入,它基于运行在 node 上的 pod 标签来限制 pod 调度在哪个节点上,而不是节点的标签。
pod 亲和性和反亲和性需要大量的计算,会显著降低集群的调度速度,不建议在大于几百个节点的集群中使用。
pod 反亲和性要求集群中的所有节点必须具有 topologyKey 匹配的标签,否则可能会导致意外情况发生。
同 node affinity,pod 亲和性和反亲和性也有两种类型:
    requiredDuringSchedulingIgnoredDuringExecution (硬限制)
    preferredDuringSchedulingIgnoredDuringExecution (软限制)
不同的是,pod 通过 podAntiAffinity 设置反亲和性,如下例子:
1
apiVersion: v1
2
kind: Pod
3
metadata:
4
name: with-pod-affinity
5
spec:
6
affinity:
7
podAffinity:
8
requiredDuringSchedulingIgnoredDuringExecution:
9
- labelSelector:
10
matchExpressions:
11
- key: security
12
operator: In
13
values:
14
- S1
15
topologyKey: failure-domain.beta.kubernetes.io/zone
16
podAntiAffinity:
17
preferredDuringSchedulingIgnoredDuringExecution:
18
- weight: 100
19
podAffinityTerm:
20
labelSelector:
21
matchExpressions:
22
- key: security
23
operator: In
24
values:
25
- S2
26
topologyKey: kubernetes.io/hostname
27
containers:
28
- name: with-pod-affinity
29
image: k8s.gcr.io/pause:2.0
Copied!
以上示例表示,pod 必须调度在至少运行一个 security=S1 标签的 pod 的节点上(更准确的说,这个 pod 可以运行在节点 N 上,如果该节点有标签 key 为 failure-domain.beta.kubernetes.io/zone,而且运行着标签为 security=S1 的实例)。另外,反亲和规则表明最好不要调度到运行有 security=S2 标签的 pod 的节点上(更准确的说,如果这个节点拥有标签 key 为 failure-domain.beta.kubernetes.io/zone,但运行有 security=S2 标签的 pod,那么这个节点就不会被优先选择调度)。
podAffinitypodAntiAffinity 支持 InNotInExistsDoesNotExist 四种表达式。
原则上,topologyKey 可以为任何合法的键值对。但是因为性能和安全的原因,有以下限制:
    1、针对 podAffinitypodAntiAffinity 中的 requiredDuringSchedulingIgnoredDuringExecutiontopologyKey 为空是不允许的
    2、针对 podAntiAffinity 中的 requiredDuringSchedulingIgnoredDuringExecution,准入控制器选项 LimitPodHardAntiAffinityTopology 可以把 topologyKey 限制为 kubernetes.io/hostname,如果想自定义值,可以修改准入控制器或者直接禁用
    3、针对 podAntiAffinity 中的 preferredDuringSchedulingIgnoredDuringExecutiontopologyKey 为空,则代表所有拓扑(仅限于 kubernetes.io/hostname, failure-domain.beta.kubernetes.io/zone and failure-domain.beta.kubernetes.io/region
    4、除了以上情况,topologyKey 可以为任意合法的键值对
除了 labelSelectortopologyKey,还可以指定 namespace 的 labelSelector 作为匹配。labelSelectortopologyKey 属于同一级别,如果未定义或设置为空值,那么默认为定义 pod affinity 和 anti-affinity 所在的空间。

实践案例

始终调度在同一个节点

在一个三个节点的集群中,一个 web 应用程序依赖内存存储,如 redis,我们想 web 程序尽可能的和缓存调度在同一个节点上。redis 的 Deployment 配置如下:
1
apiVersion: apps/v1
2
kind: Deployment
3
metadata:
4
name: redis-cache
5
spec:
6
selector:
7
matchLabels:
8
app: store
9
replicas: 3
10
template:
11
metadata:
12
labels:
13
app: store
14
spec:
15
affinity:
16
podAntiAffinity:
17
requiredDuringSchedulingIgnoredDuringExecution:
18
- labelSelector:
19
matchExpressions:
20
- key: app
21
operator: In
22
values:
23
- store
24
topologyKey: "kubernetes.io/hostname"
25
containers:
26
- name: redis-server
27
image: redis:3.2-alpine
Copied!
redis-cache 规则表达 pod 不被调度在同一个节点上。web-server 规则设置如下,表达 pod 不被调度在同一个节点上,并且必须调度在运行标签 app=store pod 的节点上。
1
apiVersion: apps/v1
2
kind: Deployment
3
metadata:
4
name: web-server
5
spec:
6
selector:
7
matchLabels:
8
app: web-store
9
replicas: 3
10
template:
11
metadata:
12
labels:
13
app: web-store
14
spec:
15
affinity:
16
podAntiAffinity:
17
requiredDuringSchedulingIgnoredDuringExecution:
18
- labelSelector:
19
matchExpressions:
20
- key: app
21
operator: In
22
values:
23
- web-store
24
topologyKey: "kubernetes.io/hostname"
25
podAffinity:
26
requiredDuringSchedulingIgnoredDuringExecution:
27
- labelSelector:
28
matchExpressions:
29
- key: app
30
operator: In
31
values:
32
- store
33
topologyKey: "kubernetes.io/hostname"
34
containers:
35
- name: web-app
36
image: nginx:1.12-alpine
Copied!
相关更多应用场景,建议阅读 抽象优雅的 Affinity,讲解的非常详细。
最近更新 2yr ago