Kubernetes资源配额（Resource Quotas）[编辑 | 编辑源代码]

Kubernetes资源配额是一种用于限制命名空间（Namespace）内资源使用的机制，它允许集群管理员控制每个命名空间可以消耗的计算资源（如CPU、内存）和对象数量（如Pod、Service）。通过资源配额，管理员可以防止单个命名空间占用过多资源，从而确保集群的公平性和稳定性。

介绍[编辑 | 编辑源代码]

在Kubernetes中，资源配额（ResourceQuota）是一种API对象，用于定义命名空间级别的资源限制。它通常用于多租户集群，以确保不同团队或项目之间的资源分配是公平的。资源配额可以限制以下内容：

• 计算资源（如CPU和内存）
• 存储资源（如持久卷声明）
• 对象数量（如Pod、Service、ConfigMap等）

资源配额的工作原理是：当用户在命名空间中创建或更新资源时，Kubernetes会检查是否超出了配额限制。如果超出，请求将被拒绝。

资源配额的类型[编辑 | 编辑源代码]

Kubernetes支持多种类型的资源配额，主要分为以下几类：

计算资源配额[编辑 | 编辑源代码]

限制命名空间中Pod可以使用的CPU和内存总量。例如：

• requests.cpu：所有Pod请求的CPU总和
• limits.memory：所有Pod的内存限制总和

存储资源配额[编辑 | 编辑源代码]

限制命名空间中的持久卷声明（PVC）可以请求的存储总量。例如：

• requests.storage：所有PVC请求的存储总量
• persistentvolumeclaims：允许的PVC数量

对象数量配额[编辑 | 编辑源代码]

限制命名空间中特定类型的Kubernetes对象的数量。例如：

• pods：允许的Pod数量
• services：允许的Service数量

配置资源配额[编辑 | 编辑源代码]

以下是一个资源配额的YAML示例，限制命名空间中的CPU、内存和Pod数量：

apiVersion: v1
kind: ResourceQuota
metadata:
  name: example-quota
  namespace: dev
spec:
  hard:
    requests.cpu: "2"
    requests.memory: 4Gi
    limits.cpu: "4"
    limits.memory: 8Gi
    pods: "10"
    services: "5"
    persistentvolumeclaims: "3"
    requests.storage: 20Gi

解释[编辑 | 编辑源代码]

• requests.cpu：所有Pod的CPU请求总和不能超过2个CPU。
• requests.memory：所有Pod的内存请求总和不能超过4GiB。
• pods：命名空间中最多允许10个Pod。
• services：命名空间中最多允许5个Service。
• persistentvolumeclaims：命名空间中最多允许3个PVC。

检查资源配额[编辑 | 编辑源代码]

可以使用以下命令查看命名空间的资源配额使用情况：

kubectl describe resourcequota example-quota -n dev

输出示例：

Name:            example-quota
Namespace:       dev
Resource         Used  Hard
--------         ----  ----
limits.cpu       1     4
limits.memory    2Gi   8Gi
pods             3     10
requests.cpu     500m  2
requests.memory  1Gi   4Gi
services         2     5

实际案例[编辑 | 编辑源代码]

假设一个开发团队在dev命名空间中工作，管理员希望限制其资源使用，以确保其他团队也能获得足够的资源。管理员可以创建一个资源配额，限制dev命名空间的CPU、内存和Pod数量。如果团队尝试创建第11个Pod，Kubernetes会拒绝请求并返回错误：

Error from server (Forbidden): pods "pod-11" is forbidden: exceeded quota: example-quota, requested: pods=1, used: pods=10, limited: pods=10

资源配额与LimitRange的关系[编辑 | 编辑源代码]

资源配额（ResourceQuota）和LimitRange是Kubernetes中两种不同的资源管理机制：

• ResourceQuota：限制命名空间级别的资源总量。
• LimitRange：限制单个Pod或容器的资源请求和限制。

通常，两者结合使用可以更精细地控制资源分配。例如，LimitRange可以确保每个Pod有合理的资源请求，而ResourceQuota可以确保命名空间不会消耗过多资源。

资源配额的计算[编辑 | 编辑源代码]

资源配额的检查是基于Pod的requests和limits字段。例如，如果一个Pod的requests.cpu为500m，那么它会占用配额中的requests.cpu的0.5个单位。

数学公式表示： ${\displaystyle \text{Used}=\sum _{\text{all Pods}}\text{Pod requests}}$

高级用法[编辑 | 编辑源代码]

按优先级分配配额[编辑 | 编辑源代码]

Kubernetes支持通过scopeSelector按优先级（PriorityClass）分配配额。例如，可以限制高优先级Pod的资源使用：

apiVersion: v1
kind: ResourceQuota
metadata:
  name: high-priority-quota
spec:
  hard:
    pods: "5"
  scopeSelector:
    matchExpressions:
    - operator: In
      scopeName: PriorityClass
      values: ["high"]

配额作用域[编辑 | 编辑源代码]

资源配额可以按作用域（Scope）限制资源，例如：

• Terminating：限制处于终止状态的Pod。
• NotTerminating：限制非终止状态的Pod。
• BestEffort：限制没有资源请求的Pod。

总结[编辑 | 编辑源代码]

Kubernetes资源配额是管理多租户集群资源的重要工具。通过合理配置配额，管理员可以确保集群资源的公平分配，避免资源争用问题。初学者可以从简单的CPU和内存配额开始，逐步学习更高级的用法，如按优先级分配配额。