了解节点过量使用 3.7. 使用节点污点控制 POD 放置 3.7.1. 了解污点和容限 3.7.1.1. 了解如何使用容限秒数来延迟 pod 驱除 3.7.1.2. 了解如何使用多个污点 3.7.1.3. 了解 pod 调度和节点状况（根据状况保留节点） 3.7.1.4. 了解根据状况驱除 pod（基于垃圾的驱除） 3.7.1.5. 容限所有污点 3.7.2. 添加污点和容限 3.7.2.1. 使用机器集添加污点和容限 3.7.2.2. 使用污点和容限将用户绑定到节点 3.7.2.3. 使用节点选择器和容限创建项目 3.7.2.4. 使用污点和容限控制具有特殊硬件的节点 3.7.3. 删除污点和容限 3.8. 使用节点选择器将 POD 放置到特定节点 3.8.1. 关于节点选择器 3.8.2. 使用节点选择器控制 pod 放置 3.8.3. 创建默认的集群范围节点选择器 3 OpenShift Container Platform 中可用的高级调度功能控制 pod 调度： 节点到 pod 的绑定规则，如 pod 关联性、节点关联性 和 反关联性。 节点标签和选择器。 污点和容限。 Pod 拓扑分布约束。 自定义调度程序。 配置 descheduler 以根据特定策略驱除 pod，以便调度程序将 pod 重新调度到更合适的节点。 配置 pod 如何使用 pod

了解节点过量使用 3.6. 使用节点污点控制 POD 放置 3.6.1. 了解污点和容限 3.6.1.1. 了解如何使用容限秒数来延迟 pod 驱除 3.6.1.2. 了解如何使用多个污点 3.6.1.3. 了解 pod 调度和节点状况（根据状况保留节点） 3.6.1.4. 了解根据状况驱除 pod（基于垃圾的驱除） 3.6.1.5. 容限所有污点 3.6.2. 添加污点和容限 3.6.2.1. 使用机器集添加污点和容限 3.6.2.2. 使用污点和容限将用户绑定到节点 3.6.2.3. 使用污点和容限控制具有特殊硬件的节点 3.6.3. 删除污点和容限 3.7. 使用节点选择器将 POD 放置到特定节点 3.7.1. 关于节点选择器 3.7.2. 使用节点选择器控制 pod 放置 3.7.3. 创建默认的集群范围节点选择器 3.7.4. 创建项目范围节点选择器 3.8. 使用 OpenShift Container Platform 中可用的高级调度功能控制 pod 调度： 节点对 pod 绑定规则，如 pod关联性、节点关联性 和反关联性。 节点标签和选择器。 污点和容限。 Pod 拓扑分布限制。 自定义调度程序. 将 descheduler 配置为根据特定策略驱除 pod，以便调度程序将 pod 重新调度到更合适的节点。 配置 pod 控制器重启后 pod

优点 缺点 污点变量1 污点变量a 污点变量4 污点变量b 变量c 污点变量2 变量1 | 污点标记 无害处理 识别污点源 污点传播 污点汇聚点 污点传播阶段 污染过程 处理过程 变量2 污点变量3 如果程序在对输入变 量处理过程中，没有做 好过滤和验证措施，就 有可能导致有害的输入 被传入sink点执行 污点数据是指来自程 序外部的数据，污点数 据有可能包含恶意的攻

pods on it. # kubectl describe node master1.cof-lee.com | grep -i Taints #查看master结 点的污点 # kubectl taint nodes --all node-role.kubernetes.io/control-plane- # kubectl taint nodes --all #刚刚加入集群的node结点 ★将node结点移出k8s集群 master结点上# kubectl taint node 结点名 keyrm:NoExecute #先打上污点，驱 逐工作负载pod，等待几分钟，确认目标node结点上没有工作pod运行后，再删 除 master结点上# kubectl delete nodes 结点名 #将目标结点从集群里删除 #查看定义的deployment ★DaemonSet控制器 DaemonSet用于在集群中的全部节点上同时运行一份指定的pod副本（master打 了污点，所以默认不运行，可以设置容忍度）后续新加入集群的工作节点也会 自动创建一个相关的pod副本，这些pod一般是执行系统级操作任务的服务，如 应用代理，监控，日志收集等 # vi monit.daemonset

整理到数据存储或索引中，然后将每个索引划分为多个碎片，称 为分片 (shard)。 taint 污点可确保 pod 调度到适当的节点上。您可以在节点上应用一个或多个污点。 容限 容限 (tolerations) 您可以将容限应用到 pod。容限 (toleration) 允许调度程序调度具有匹配污点的 pod。 Web 控制台 控制台 用于管理 OpenShift Container Platform 和内存限值及请求。 4.7. 使用容忍度来控制 OPENSHIFT LOGGING POD 放置 您可以使用污点和容限来确保 OpenShift Logging pod 在特定节点上运行，并确保其他工作负载不在这些 节点上运行。 污点和容忍度是简单的 key:value 对。节点上的污点指示节点排斥所有不容许该污点的 pod。 key 是最长为 253 个字符的任意字符串，value 则是最长为 63 个字符的任意字符串。字符串必须以字母 在哪些节点上运行，并防止其他工作负载使用这些 节点。 您可以通过 ClusterLogging 自定义资源（CR）将容限应用到日志存储 pod,并通过节点规格将污点应用 到节点。节点上的污点是一个 key:value 对，它指示节点排斥所有不容许该污点的 pod。通过使用不在其 他 pod 上的特定 key:value 对，可以确保仅日志存储 pod 能够在该节点上运行。 默认情况下，日志存储 pod

和内存限值及请求。 4.7. 使用容忍度来控制 OPENSHIFT LOGGING POD 放置 您可以使用污点和容限来确保 OpenShift Logging pod 在特定节点上运行，并确保其他工作负载不在这些 节点上运行。 污点和容忍度是简单的 key:value 对。节点上的污点指示节点排斥所有不容许该污点的 pod。 key 是最长为 253 个字符的任意字符串，value 则是最长为 63 个字符的任意字符串。字符串必须以字母 在哪些节点上运行，并防止其他工作负载使用这些 节点。 您可以通过 ClusterLogging 自定义资源（CR）将容限应用到日志存储 pod,并通过节点规格将污点应用 到节点。节点上的污点是一个 key:value 对，它指示节点排斥所有不容许该污点的 pod。通过使用不在其 他 pod 上的特定 key:value 对，可以确保仅日志存储 pod 能够在该节点上运行。 默认情况下，日志存储 pod Elasticsearch。 流程 流程 1. 使用以下命令，将污点添加到要在其上调度 OpenShift Logging pod 的节点： 例如： 本例在 node1 上放置一个键为 elasticsearch 且值为 node 的污点，污点效果是 NoExecute。 具有 NoExecute 效果的节点仅调度与污点匹配的 Pod，并删除不匹配的现有 pod。 2. 编辑 ClusterLogging

名称。使用安装程序在 默认计算机器集中填充的值。 指定您所在地区（region）内要放置机器的区域 (zone) 。确保您的地区支持您指定的区域。 指定一个污点，以防止将用户工作负载调度到 infra 节点上。 注意 注意 在基础架构节点上添加 NoSchedule 污点后，在该节点上运行的现有 DNS pod 被标 记为 misscheduled。您必须删除或在 misscheduled DNS pod 中添加容限。 数据的标签，则机器集的标签值优先于 install-config.yml 文件中的标签值。 指定区域，如 us-east-1a。 指定区域，如 us-east-1。 指定基础架构 ID 和区域。 指定一个污点，以防止将用户工作负载调度到 infra 节点上。 注意 注意 - name: tag:Name values: machineset/-- 第 第 8 章 章 创 创建基 建基础 础架 架构 构机器集 机器集 137 注意 注意 在基础架构节点上添加 NoSchedule 污点后，在该节点上运行的现有 DNS pod 被标 记为 misscheduled。您必须删除或在 misscheduled DNS pod 中添加容限。 在 AWS 上运行的机器集支持非保证的 Spot

ControllerManager 状态为 active。 3. 调整 调整 Pod 对节点不健康的容忍时长 对节点不健康的容忍时长 在创建 Pod 时，如⽆特别指定，节点控制器会为 Pod 添加如下污点： tolerations: - key: "node.kubernetes.io/unreachable" operator: "Exists" effect: "NoExecute" tolerationSeconds: unreachable / not-ready 污点⾃动添加的 NoExecute 的容忍度将不会指定 tolerationSeconds，保证出现相应问题时 DaemonSet 中的 Pod 永远不会被驱逐。 3.1 调整默认容忍时长 调整默认容忍时长 Kubernetes 为 Pod ⾃动添加的针对 unreachable / not-ready 污点的容忍时⻓由 APIServer 中的相应参数控制，如需修改请逐台在三台 中添加参数 --default-not-ready-toleration-seconds=100 及 --default-unreachable-toleration-seconds=100，将对 污点 NotReady:NoExecute 及 Unreachable:NoExecute 的容忍时⻓（以秒记，默认为 300）调整为 100s，修改前请做好配置⽂件备份 修改前请做好配置⽂件备份； 2

的容限 的容限 污点可用于节点，以防止它们运行常规工作负载。要允许 Local Storage Operator 使用污点节点，您必须 在 Pod 或 DaemonSet 定义中添加容限。这允许在这些污点节点上运行所创建的资源。 您可以通过 LocalVolume 资源把容限应用到 Local Storage Operator pod，通过节点规格把污点应用到 一个节点。节点上的污点指示节点排斥所有不容许该污点的 一个节点。节点上的污点指示节点排斥所有不容许该污点的 pod。使用一个没有存在于其他 pod 上的特定 污点可确保 Local Storage Operator pod 也可以在该节点上运行。 重要 重要 污点与容限由 key、value 和 effect 组成。作为参数，它表示为 key=value:effect。运算 符允许您将其中一个参数留空。 先决条件 先决条件 安装了 Local Storage Operator。 Operator。 本地磁盘已附加到带有一个污点的 OpenShift Container Platform 节点上。 - Crucial_CT525MX3 vendors: - ATA - ST2000LM $ oc apply -f local-volume-set.yaml $ oc get pv NAME CAPACITY

pod 的容限 污点可用于节点，以防止它们运行常规工作负载。要允许 Local Storage Operator 使用污点节点，您必须 在 Pod 或 DaemonSet 定义中添加容限。这允许在这些污点节点上运行所创建的资源。 您可以通过 LocalVolume 资源把容限应用到 Local Storage Operator pod，通过节点规格把污点应用到 一个节点。节点上的污点指示节点排斥所有不容许该污点的 一个节点。节点上的污点指示节点排斥所有不容许该污点的 pod。使用一个没有存在于其他 pod 上的特定 污点可确保 Local Storage Operator pod 也可以在该节点上运行。 重要 重要 污点与容限由 key、value 和 effect 组成。作为参数，它表示为 key=value:effect。运算 符允许您将其中一个参数留空。 先决条件 先决条件 安装了 Local Storage Operator。 Operator。 本地磁盘已附加到带有一个污点的 OpenShift Container Platform 节点上。 污点节点可以置备本地存储。 流程 流程 配置本地卷以便在污点节点上调度： 1. 修改定义 Pod 的 YAML 文件并添加 LocalVolume 规格,如下例所示： 指定添加到节点的键。 指定 Equal 运算符，以要求 key/value 参数匹配。如果运算符是 Exists，系统会检查键是