深入kube-apiserver准入控制机制:从AlwaysPullImages到Webhook的完整解析

最新推荐文章于 2026-06-20 22:30:05 发布
原创 最新推荐文章于 2026-06-20 22:30:05 发布 · 158 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#kubernetes #docker #容器 #云原生 #kubelet
话题
#AI编程·六月创作之星博客挑战赛

前言

去年遇到过一次诡异的部署问题:我们部署的Pod总是自动多出一个Sidecar容器,检查YAML确认没有定义,最后发现是Istio的MutatingWebhook在"搞鬼"。虽然这是预期的行为,但让我深刻认识到**准入控制(Admission Control)**的强大——它可以在请求到达etcd之前,自动修改或验证资源。

今天就带大家深入源码,看看K8s的准入控制机制是如何实现的。

什么是准入控制?

准入控制是在认证和鉴权之后、对象持久化到etcd之前的一个拦截点。它可以:

  • 修改(Mutating):自动修改请求的资源(如注入Sidecar、设置默认值)
  • 验证(Validating):验证请求是否合法(如检查配额、安全策略)

准入控制在API请求生命周期中的位置

客户端请求
    │
    ▼
┌─────────────────────────────────────────────────────────────┐
│  Authentication(认证)                                      │
│  - 确认你是谁                                                │
└──────────────────┬──────────────────────────────────────────┘
                   │
                   ▼
┌─────────────────────────────────────────────────────────────┐
│  Authorization(鉴权)                                       │
│  - 确认你能做什么                                            │
└──────────────────┬──────────────────────────────────────────┘
                   │
                   ▼
┌─────────────────────────────────────────────────────────────┐
│  ADMISSION CONTROL(准入控制) ← 我们今天的主角              │
│  ┌─────────────────────────────────────────────────────────┐ │
│  │ Phase 1: Mutating(变更阶段)                            │ │
│  │ - 可以修改对象                                           │ │
│  │ - 多个控制器按顺序执行                                    │ │
│  │ - 例如:设置默认值、注入Sidecar                           │ │
│  └─────────────────────────────────────────────────────────┘ │
│                           │                                  │
│                           ▼                                  │
│  ┌─────────────────────────────────────────────────────────┐ │
│  │ Phase 2: Validating(验证阶段)                          │ │
│  │ - 不能修改对象(只读)                                    │ │
│  │ - 验证对象合法性                                          │ │
│  │ - 例如:配额检查、安全策略验证                            │ │
│  └─────────────────────────────────────────────────────────┘ │
└──────────────────┬──────────────────────────────────────────┘
                   │
                   ▼
┌─────────────────────────────────────────────────────────────┐
│  etcd(持久化存储)                                          │
└─────────────────────────────────────────────────────────────┘

重要特性

  • 任何控制器拒绝请求,整个请求都会失败
  • Mutating阶段可以修改对象
  • Validating阶段只能验证,不能修改

准入控制的分类

按功能分类

类型作用示例
Mutating修改请求对象AlwaysPullImages、ServiceAccount、NodeRestriction
Validating验证请求合法性ResourceQuota、PodSecurityPolicy、NodeRestriction

按实现方式分类

类型说明示例
静态准入控制器编译在apiserver中AlwaysPullImages、LimitRanger
动态Webhook调用外部HTTP服务MutatingAdmissionWebhook、ValidatingAdmissionWebhook

常用的准入控制器

1. AlwaysPullImages

作用:将所有Pod的镜像拉取策略设置为Always

场景:多租户集群,确保私有镜像只能被授权用户拉取

// plugin/pkg/admission/alwayspullimages/admission.go

func (a *AlwaysPullImages) Admit(ctx context.Context, attributes admission.Attributes, o admission.ObjectInterfaces) error {
    pod, ok := attributes.GetObject().(*api.Pod)
    if !ok {
        return apierrors.NewBadRequest("Resource was marked with kind Pod but was unable to be converted")
    }
    
    // 遍历所有容器,设置ImagePullPolicy为Always
    pods.VisitContainersWithPath(&pod.Spec, field.NewPath("spec"), func(c *api.Container, _ *field.Path) bool {
        c.ImagePullPolicy = api.PullAlways
        return true
    })
    
    return nil
}

2. ServiceAccount

作用:为没有指定ServiceAccount的Pod自动设置default ServiceAccount

func (a *serviceAccountPlugin) Admit(ctx context.Context, attributes admission.Attributes, o admission.ObjectInterfaces) error {
    pod := attributes.GetObject().(*api.Pod)
    
    // 如果没有指定ServiceAccount,设置为"default"
    if len(pod.Spec.ServiceAccountName) == 0 {
        pod.Spec.ServiceAccountName = "default"
    }
    
    // 如果没有指定imagePullSecrets,从ServiceAccount继承
    if len(pod.Spec.ImagePullSecrets) == 0 {
        pod.Spec.ImagePullSecrets = serviceAccount.ImagePullSecrets
    }
    
    return nil
}

3. NodeRestriction

作用:限制kubelet只能修改自己的Node和绑定到本节点的Pod

与Node鉴权的区别

  • Node鉴权:API层面的权限控制
  • NodeRestriction:准入控制层面的字段级限制
func (p *Plugin) Admit(ctx context.Context, attributes admission.Attributes, o admission.ObjectInterfaces) error {
    switch attributes.GetResource().Resource {
    case "nodes":
        return p.admitNode(attributes)
    case "pods":
        return p.admitPod(attributes)
    }
    return nil
}

func (p *Plugin) admitNode(attributes admission.Attributes) error {
    nodeName := attributes.GetName()
    
    // 检查是否是kubelet自己的节点
    if nodeName != p.nodeIdentifier.NodeIdentity(attributes.GetUser()) {
        return admission.NewForbidden(attributes, fmt.Errorf("cannot modify other nodes"))
    }
    
    // 限制只能修改特定的字段
    // 不能修改labels(除了kubernetes.io前缀的)
    // 不能修改annotations
    
    return nil
}

4. ResourceQuota

作用:限制namespace的总资源使用(CPU、内存、Pod数量等)

func (q *quotaAdmission) Admit(ctx context.Context, attributes admission.Attributes, o admission.ObjectInterfaces) error {
    // 获取namespace的ResourceQuota
    quotas, err := q.GetQuotas(attributes.GetNamespace())
    
    // 计算请求的资源
    usage := calculateUsage(attributes.GetObject())
    
    // 检查是否超出配额
    for _, quota := range quotas {
        if exceedsQuota(usage, quota) {
            return admission.NewForbidden(attributes, fmt.Errorf("exceeds quota"))
        }
    }
    
    return nil
}

5. PodSecurityPolicy(已废弃)/ PodSecurity

作用:控制Pod的安全配置(是否以root运行、是否使用特权模式等)

func (p *Plugin) Validate(ctx context.Context, attributes admission.Attributes, o admission.ObjectInterfaces) error {
    pod := attributes.GetObject().(*api.Pod)
    
    // 检查是否违反安全策略
    if pod.Spec.SecurityContext.RunAsRoot != nil && *pod.Spec.SecurityContext.RunAsRoot {
        return admission.NewForbidden(attributes, fmt.Errorf("cannot run as root"))
    }
    
    if pod.Spec.HostNetwork && !p.allowHostNetwork {
        return admission.NewForbidden(attributes, fmt.Errorf("cannot use host network"))
    }
    
    return nil
}

准入控制的初始化

初始化入口

// cmd/kube-apiserver/app/server.go

// 1. 创建准入控制器初始化器
pluginInitializers, admissionPostStartHook, err := admissionConfig.New(
    proxyTransport,
    genericConfig.EgressSelector,
    serviceResolver,
    genericConfig.TracerProvider,
)

// 2. 应用准入控制配置
err = s.Admission.ApplyTo(
    genericConfig,
    versionedInformers,
    kubeClientConfig,
    utilfeature.DefaultFeatureGate,
    pluginInitializers...,
)

admissionConfig.New:创建初始化器

// pkg/kubeapiserver/admission/config.go

func (c *Config) New(
    proxyTransport *http.Transport,
    egressSelector *egressselector.EgressSelector,
    serviceResolver webhook.ServiceResolver,
    tp *trace.TracerProvider,
) ([]admission.PluginInitializer, genericapiserver.PostStartHookFunc, error) {
    
    // 1. 创建Webhook认证解析器
    webhookAuthResolverWrapper := webhook.NewDefaultAuthenticationInfoResolverWrapper(
        proxyTransport, egressSelector, c.LoopbackClientConfig, tp,
    )
    webhookPluginInitializer := webhookinit.NewPluginInitializer(
        webhookAuthResolverWrapper, serviceResolver,
    )
    
    // 2. 创建K8s专用初始化器
    clientset, err := kubernetes.NewForConfig(c.LoopbackClientConfig)
    discoveryClient := cacheddiscovery.NewMemCacheClient(clientset.Discovery())
    discoveryRESTMapper := restmapper.NewDeferredDiscoveryRESTMapper(discoveryClient)
    
    kubePluginInitializer := NewPluginInitializer(
        cloudConfig,
        discoveryRESTMapper,
        quotainstall.NewQuotaConfigurationForAdmission(),
    )
    
    // 3. 创建PostStartHook(定期刷新discovery缓存)
    admissionPostStartHook := func(context genericapiserver.PostStartHookContext) error {
        discoveryRESTMapper.Reset()
        go utilwait.Until(discoveryRESTMapper.Reset, 30*time.Second, context.StopCh)
        return nil
    }
    
    return []admission.PluginInitializer{
        webhookPluginInitializer, 
        kubePluginInitializer,
    }, admissionPostStartHook, nil
}

PluginInitializer:插件的数据注入

// pkg/kubeapiserver/admission/initializer.go

type PluginInitializer struct {
    cloudConfig        []byte
    restMapper         meta.RESTMapper
    quotaConfiguration quota.Configuration
}

func (i *PluginInitializer) Initialize(plugin admission.Interface) {
    // 如果插件需要CloudConfig,注入
    if wants, ok := plugin.(WantsCloudConfig); ok {
        wants.SetCloudConfig(i.cloudConfig)
    }
    
    // 如果插件需要RESTMapper,注入
    if wants, ok := plugin.(WantsRESTMapper); ok {
        wants.SetRESTMapper(i.restMapper)
    }
    
    // 如果插件需要QuotaConfiguration,注入
    if wants, ok := plugin.(initializer.WantsQuotaConfiguration); ok {
        wants.SetQuotaConfiguration(i.quotaConfiguration)
    }
}

准入控制器的注册和初始化

注册准入控制器

所有准入控制器在RegisterAllAdmissionPlugins函数中注册:

// pkg/kubeapiserver/options/plugins.go

func RegisterAllAdmissionPlugins(plugins *admission.Plugins) {
    alwayspullimages.Register(plugins)
    antiaffinity.Register(plugins)
    defaulttolerationseconds.Register(plugins)
    gc.Register(plugins)
    limitranger.Register(plugins)
    noderestriction.Register(plugins)
    podnodeselector.Register(plugins)
    podsecurity.Register(plugins)
    resourcequota.Register(plugins)
    serviceaccount.Register(plugins)
    // ... 更多插件
}

注册示例:AlwaysPullImages

// plugin/pkg/admission/alwayspullimages/admission.go

const PluginName = "AlwaysPullImages"

func Register(plugins *admission.Plugins) {
    plugins.Register(PluginName, func(config io.Reader) (admission.Interface, error) {
        return NewAlwaysPullImages(), nil
    })
}

func NewAlwaysPullImages() *AlwaysPullImages {
    return &AlwaysPullImages{
        Handler: admission.NewHandler(admission.Create, admission.Update),
    }
}

Plugins数据结构

// staging/src/k8s.io/apiserver/pkg/admission/plugins.go

type Factory func(config io.Reader) (Interface, error)

type Plugins struct {
    lock     sync.Mutex
    registry map[string]Factory  // 插件名 -> 工厂函数
}

func (ps *Plugins) Register(name string, factory Factory) {
    ps.lock.Lock()
    defer ps.lock.Unlock()
    
    if _, found := ps.registry[name]; found {
        panic(fmt.Sprintf("admission plugin %q was registered twice", name))
    }
    ps.registry[name] = factory
}

计算启用的插件列表

enabledPluginNames:确定哪些插件启用

// staging/src/k8s.io/apiserver/pkg/server/options/admission.go

func (a *AdmissionOptions) enabledPluginNames() []string {
    // 默认关闭的插件
    allOffPlugins := append(a.DefaultOffPlugins.List(), a.DisablePlugins...)
    disabledPlugins := sets.NewString(allOffPlugins...)
    
    // 明确启用的插件
    enabledPlugins := sets.NewString(a.EnablePlugins...)
    
    // 从disabled中移除明确启用的
    disabledPlugins = disabledPlugins.Difference(enabledPlugins)
    
    // 按推荐顺序,保留未禁用的插件
    orderedPlugins := []string{}
    for _, plugin := range a.RecommendedPluginOrder {
        if !disabledPlugins.Has(plugin) {
            orderedPlugins = append(orderedPlugins, plugin)
        }
    }
    
    return orderedPlugins
}

命令行参数

kube-apiserver \
  --enable-admission-plugins=NodeRestriction,AlwaysPullImages \
  --disable-admission-plugins=PodSecurityPolicy \
  --admission-control-config-file=/etc/kubernetes/admission-config.yaml

准入控制器的执行

两阶段执行流程

// staging/src/k8s.io/apiserver/pkg/admission/chain.go

func (admissionHandler) Admit(ctx context.Context, attributes Attributes, o ObjectInterfaces) error {
    // Phase 1: Mutating
    for _, plugin := range mutatingPlugins {
        if err := plugin.Admit(ctx, attributes, o); err != nil {
            return err  // 任何插件拒绝,整个请求失败
        }
    }
    
    // Phase 2: Validating
    for _, plugin := range validatingPlugins {
        if err := plugin.Validate(ctx, attributes, o); err != nil {
            return err  // 任何插件拒绝,整个请求失败
        }
    }
    
    return nil
}

Admission Attributes

type Attributes interface {
    GetName() string              // 资源名称
    GetNamespace() string         // 命名空间
    GetResource() schema.GroupVersionResource  // 资源类型
    GetOperation() Operation      // 操作类型(Create/Update/Delete/Connect)
    GetObject() runtime.Object    // 请求对象(Mutating阶段可修改)
    GetOldObject() runtime.Object // 旧对象(Update操作)
    GetUserInfo() user.Info       // 用户信息
}

Webhook准入控制

除了静态准入控制器,K8s还支持通过Webhook调用外部服务进行准入控制。

Webhook配置

# mutating-webhook.yaml
apiVersion: admissionregistration.k8s.io/v1
kind: MutatingWebhookConfiguration
metadata:
  name: sidecar-injector
webhooks:
  - name: sidecar-injector.example.com
    clientConfig:
      service:
        name: sidecar-injector
        namespace: istio-system
        path: "/inject"
      caBundle: <CA_BUNDLE>
    rules:
      - operations: ["CREATE"]
        apiGroups: [""]
        apiVersions: ["v1"]
        resources: ["pods"]
    namespaceSelector:
      matchLabels:
        istio-injection: enabled
    admissionReviewVersions: ["v1"]
    sideEffects: None

Webhook执行流程

请求到达apiserver
    │
    ▼
MutatingAdmissionWebhook
    │
    ├── 匹配Webhook配置
    │
    ├── 序列化AdmissionReview
    │
    ├── HTTP POST到Webhook服务
    │
    ├── 接收AdmissionResponse
    │
    └── 如果允许,应用patches修改对象
    │
    ▼
继续其他准入控制器

Webhook响应示例

{
  "apiVersion": "admission.k8s.io/v1",
  "kind": "AdmissionReview",
  "response": {
    "uid": "c5d4e6f7-a8b9-4c0d-1e2f-3a4b5c6d7e8f",
    "allowed": true,
    "patchType": "JSONPatch",
    "patch": "W3sib3AiOiAiYWRkIiwgInBhdGgiOiAiL3NwZWMvY29udGFpbmVycy8tIiwgInZhbHVlIjogeyJuYW1lIjogInNpZGVjYXIiLCAiaW1hZ2UiOiAiaXN0aW8vcHJveHl2MjoxLjE0LjAifX1d"
  }
}

// patch解码后是JSONPatch:
// [{"op": "add", "path": "/spec/containers/-", "value": {"name": "sidecar", "image": "istio/proxyv2:1.14.0"}}]

配置准入控制器

推荐配置

kube-apiserver \
  --enable-admission-plugins=\
NodeRestriction,\              # 限制kubelet权限
NamespaceLifecycle,\           # 防止删除active namespace
LimitRanger,\                  # 限制资源范围
ServiceAccount,\               # 自动设置ServiceAccount
DefaultStorageClass,\          # 自动设置StorageClass
ResourceQuota,\                # 资源配额
MutatingAdmissionWebhook,\     # 支持Mutating Webhook
ValidatingAdmissionWebhook      # 支持Validating Webhook

配置示例

# /etc/kubernetes/admission-config.yaml
apiVersion: apiserver.config.k8s.io/v1
kind: AdmissionConfiguration
plugins:
  - name: ResourceQuota
    path: /etc/kubernetes/resource-quota.yaml
  - name: EventRateLimit
    configuration:
      apiVersion: eventratelimit.admission.k8s.io/v1alpha1
      kind: Configuration
      limits:
        - type: Namespace
          qps: 100
          burst: 200

踩坑实录:准入控制常见问题

坑1:准入控制器顺序问题

现象:ServiceAccount控制器在PodPreset之后执行,导致注入的volume配置丢失

解决方案

# 注意准入控制器的执行顺序
# Mutating阶段按注册顺序执行
# Validating阶段按注册顺序执行

# K8s 1.10+支持使用reinvocationPolicy让Webhook被多次调用

坑2:Webhook超时

现象:Webhook响应慢,导致API请求超时

解决方案

webhooks:
  - name: my-webhook.example.com
    clientConfig:
      ...
    timeoutSeconds: 10  # 设置超时时间(默认30s,最大30s)
    failurePolicy: Ignore  # 失败时忽略(Fail会拒绝请求)

坑3:Webhook证书问题

现象:Webhook调用失败,TLS握手错误

解决方案

# 确保caBundle正确
# 如果是自签名证书,需要把CA证书放入caBundle

# 或者使用cert-manager自动管理

坑4:忽略namespace导致的问题

现象:系统组件(如kube-system中的Pod)被Webhook修改,导致集群异常

解决方案

webhooks:
  - name: my-webhook.example.com
    namespaceSelector:
      matchExpressions:
        - key: kubernetes.io/metadata.name
          operator: NotIn
          values: ["kube-system", "kube-public"]

总结

通过今天的分析,我们深入理解了kube-apiserver的准入控制机制:

  1. 两个阶段:Mutating(变更)和Validating(验证)
  2. 两种类型:静态准入控制器和动态Webhook
  3. 注册机制:通过Plugins注册表管理所有控制器
  4. 初始化流程:创建初始化器、计算启用列表、按顺序执行
  5. 常见控制器:AlwaysPullImages、ServiceAccount、NodeRestriction、ResourceQuota等

准入控制是K8s扩展性的重要体现,理解它可以帮助我们更好地扩展K8s功能。

kubernetes v1.21】(二)kube-apiserver 超深度架构分析
zhonglinzhang
05-30 229
kube-apiserver 超深度架构分析
云原生 AI 模型供应链安全:SLSA、Sigstore 签名与 K8s 准入治理实践
我的博客
06-16 201
AI 模型供应链安全正在经历传统软件供应链 2017-2021 年的完整演化轨迹——从安全意识的觉醒,到标准化工具的建立,再到云原生基础设施的深度集成。威胁面:AI 模型供应链的攻击面远超传统软件——Pickle 反序列化可导致远程代码执行、模型"脑叶切除"可绕过安全对齐、LoRA 适配器劫持可在推理阶段激活、命名空间劫持可静默替换被广泛引用的模型。OWASP LLM03:2025 将其列为第三大 LLM 安全风险,拆解出 13 种具体攻击场景。签名基础设施。
第十四篇:《K8s 网络模型与 CNI 插件(Calico、Flannel、Cilium)》
qq_45239623的博客
06-16 449
Kubernetes 对网络的基本要求是:每个 Pod 拥有独立的 IP,且 Pod 之间无需 NAT 直接通信。本文介绍 K8s 网络模型的核心原则,对比三种主流 CNI 插件:Flannel(简单易用)、Calico(支持网络策略)、Cilium(高性能 eBPF),并演示如何安装和配置 NetworkPolicy 实现微隔离。Calico 使用 BGP 路由协议(或 VXLAN)实现 Pod 通信,并原生支持 Kubernetes NetworkPolicy,是目前生产环境最常用的 CNI 之一。
K8s 监控实战:victoria-metrics-k8s-stack 高可用部署,资源占用直降 70%,比 Prometheus 省 5 倍磁盘
lwxvgdv的博客
06-14 329
本文介绍了在Kubernetes集群中部署VictoriaMetrics高可用监控栈的实践指南。相比传统Prometheus方案,VictoriaMetrics具有更低资源占用(内存仅为1/3-1/7)、更高存储效率(磁盘占用低5-10倍)和原生集群模式等优势。文章详细提供了基于Helm的部署配置,包括vmcluster高可用架构(3副本vmstorage)、14天数据保留策略、vmagent采集配置等,并展示了Grafana可视化监控和NodePort访问方式。该方案特别适合中小企业K8s监控场景,能有效
开发K8s准入控制器前的准备工作:集群检查与项目搭建指南
java_cj的专栏
06-20 262
开发Kubernetes准入控制器的准备工作 本文详细介绍了开发Kubernetes准入控制器前的环境检查和项目初始化步骤: 集群环境检查: 验证集群是否支持准入注册API(admissionregistration.k8s.io/v1) 确认kube-apiserver启用了MutatingAdmissionWebhook和ValidatingAdmissionWebhook插件 测试Webhook连通性 项目初始化: 创建Go项目结构,添加必要的Kubernetes API依赖 设计Sidecar注入配
DNS协议指南:从报文格式到安全加密与 K8s 实战
Pierreze的博客
06-14 420
从 DNS 报文字节级拆解到迭代/递归解析全流程,从 dig 高级用法到 DoH/DoT/DoQ 加密方案,从 DNSSEC 信任链到 K8s CoreDNS 服务发现
k8s1.36部署helm和storageclass
lwxvgdv的博客
06-14 62
本文介绍了在Kubernetes集群中使用Helm部署NFS存储类(StorageClass)的完整流程。首先列出了包含4个节点(master01、node1、node2、nfs服务器)的集群配置信息,包括IP、主机名、CPU和内存规格。随后详细说明了在NFS服务器上配置存储的步骤:创建GPT分区、格式化XFS文件系统、设置自动挂载。最后通过Helm命令部署nfs-subdir-external-provisioner,配置NFS服务器地址、共享路径,并设置默认存储类。整个过程包含镜像仓库替换为阿里云源以加
深入kube-apiserver鉴权机制:从RBAC到Node的4种鉴权模式全解析
java_cj的专栏
06-17 322
本文深入解析Kubernetes鉴权机制,从认证与鉴权的区别入手,详细介绍了K8s的4种鉴权模式(Node/RBAC/ABAC/Webhook)及其适用场景。通过分析kube-apiserver源码中的Authorizer接口、鉴权决策类型和Union鉴权模式,揭示了鉴权执行的底层逻辑:按顺序执行多个鉴权器,只要有一个明确决策(允许或拒绝)就立即返回,否则默认拒绝。文章最后指出了与认证流程的关键区别,并强调鉴权顺序的重要性,为K8s权限管理提供了深入的技术洞察。
K8S存储管理
Breeze的博客
06-17 302
本章概述K8S存储管理按照发展的历程,涉及到有Volume、PV/PVC、StorageClass,Volume是最早提出的存储卷,主要解决容器和数据存储的依赖关系,抽象底层驱动以及支持不同的存储类型,使用Volume需要了解底层存储细节,因此提出了PV,Persistent Volume是由k8s管理员定义的存储单元,应用端使用PersistentVolumeClaims声明去调用PV存储,进一步抽象了底层存储;
拓扑感知调度:让 Kubernetes 更懂 GPU 的物理连接
最新发布
m0_50889382的博客
06-20 60
做大规模模型训练的人都有体会:当模型参数突破千亿,多卡并行就成了必经之路。但这时候 GPU 之间的通信反而成了瓶颈——参数同步、梯度聚合这些操作,稍微有点延迟,整个训练速度就掉得厉害。我们之前遇到过实际案例:某个团队在 K8s 上跑 8 卡训练任务,明明每张卡都有空闲,但训练速度只有预期的一半。排查发现是调度器把 4 张卡分配到了跨 NUMA 的位置,NVLink 带宽从 600GB/s 掉到了 80GB/s。GPU 大部分时间都在等数据,算力利用率不到 30%。
K8S基础-控制器&deploy&pod回滚更新&service
2401_87348491的博客
06-15 269
Deployment通过控制管理Replicaset,Replicaset管理Pod,来实现对pod的管理Deploy主要功能有以下几个:支持ReplicaSe的所有功能、副本支持发布的停止、继续支持滚动升级和回滚版本apiVersion: apps/v1 # 版本号kind: Deployment # 类型metadata: # 元数据name: # rs名称namespace: # 所属命名空间labels: #标签spec: # 详情描述replicas: 3 # 副本数量。
从0到1启动kube-apiserver:深入源码解析API Server启动全流程
java_cj的专栏
06-16 379
本文深入分析了Kubernetes核心组件kube-apiserver的启动流程。首先介绍了kube-apiserver作为集群"大脑"的重要地位,承担API网关、认证鉴权、准入控制等核心职责。随后通过源码剖析了启动的三个关键阶段:1)准备阶段(参数解析、配置补全与校验);2)创建阶段(构建由KubeAPIServer、APIExtensionsServer和AggregatorServer组成的服务链);3)运行阶段(启动HTTP服务并阻塞等待)。特别强调了kube-apiserver内部的三层服务架构设
K8s灾备利器:Velero部署与备份还原演示
专注Linux运维与云原生技术分享。这里是我的技术成长基地,记录从Linux基础命令到Shell脚本,再到Docker、K8s实战的点滴积累。坚持输出干货笔记,希望能帮你避坑排雷,共同在云原生时代进阶!
06-16 600
Velero是Kubernetes集群备份、恢复及迁移的开源利器。本文实战演示了基于MinIO对象存储部署Velero的完整流程,涵盖客户端安装、服务端配置及test命名空间的备份与误删恢复验证,助您快速掌握K8s数据保护核心工作流。
**国内阿里云环境**ubuntu22安装k8s1.32
yuezhilangniao的博客
06-14 278
摘要: 本文详细介绍了在国内阿里云环境下,使用Ubuntu 22.04安装Kubernetes 1.32的步骤,区分了无GPU的VMware虚拟机和有GPU(P100)的物理服务器环境。主要包括:1)系统源配置(阿里云官方源),包含内核优化和初始化脚本;2)Ubuntu和CentOS/Rocky Linux的apt/yum源配置;3)安装并配置containerd;4)直接从阿里云和quay.io拉取Kubernetes核心组件、KubeVirt和CDI镜像。所有操作均直接使用官方仓库,未使用代理或加速器。
Kubernetes】K8s集群的node节点因为证书过期导致的notReady问题处理
cnskylee的博客
06-17 66
Kubernetes集群节点因证书过期更新后出现NotReady状态,通过重新生成join命令并执行节点重连时遇到两类错误:1)配置文件/端口冲突问题,通过重命名旧证书文件、停止kubelet服务解决;2)节点权限问题,使用kubeadm reset清理节点配置后成功重连。最终所有节点状态恢复Ready,集群恢复正常。关键步骤包括处理预检错误、重置节点配置和重新加入集群。
K8s 调度策略深潜:从 Predicates 到 Score 的决策链路解析
m0_50889382的博客
06-17 278
import ("context""fmt""math"const (// PluginName 插件名称// 高碎片率阈值// NodeResourceFragmentationPlugin 基于资源碎片率的调度插件// 核心思路:优先选择调度后碎片率最低的节点,减少资源浪费// New 初始化插件}, nil// Name 返回插件名称// Score 计算节点得分:碎片率越低得分越高// 获取节点信息if err!= nil {
K8s 调度器扩展:从 Scheduling Framework 到自定义插件的工程实战
m0_50889382的博客
06-15 329
import ("context""fmt""sync""time"// GangScheduler 插件:确保一组关联 Pod 同时调度成功// 记录每个 Gang 的调度状态// GangState 记录一个 Gang 的调度进度TotalPods int // Gang 中 Pod 总数ScheduledPod int // 已调度成功的 Pod 数WaitingPods []string // 等待中的 Pod UID。
推理篇第22节:Kubernetes部署——在K8s上部署Triton与自动伸缩
PeterPan的博客
06-14 60
本文介绍了如何在Kubernetes生产环境中部署Triton推理服务。主要内容包括: 搭建K8s GPU环境,安装NVIDIA GPU Operator管理GPU资源 通过Deployment部署Triton Server,配置健康检查、资源限制和S3模型仓库 设置Service和Ingress暴露服务 实现HPA自动伸缩,支持基于GPU利用率、请求QPS和队列延迟的弹性扩缩容 推荐使用S3/MinIO存储模型文件,或通过Init Container预加载模型 生产级部署需考虑高可用、资源隔离、自动伸缩等
K8s可观测性选型:Prometheus+Grafana vs Datadog vs 冠服云EMS 全链路实测对比——从采集到闭环,三套方案的真正差距在哪
希望在复杂环境里,找到更清楚的解释方式。
06-17 444
K8s环境下的可观测性选型,Prometheus免费但告警→工单链路靠自建,Datadog全但账单按容器数算一跑就爆,EMS一体化但深度日志分析弱于ES。本文把三套方案放在同一套K8s集群(50节点/300Pod)里实测:指标采集、日志关联、告警→工单闭环、月度成本四个维度逐项对比。不堆功能清单,只讲跑完一个月后真正影响决策的4个差距。适合正在选型K8s可观测性方案的运维/DevOps团队参考。
K8s到底需不需要GPU节点?集群资源分配的底层逻辑
qq_41397057的博客
06-15 441
摘要:Kubernetes集群是否需要GPU节点取决于实际业务需求 Kubernetes集群并非都需要GPU节点,因为大多数Web服务、API网关等应用仅需CPU资源。GPU节点成本高昂且管理复杂,适合AI推理、模型训练等计算密集型任务。 Kubernetes通过Device Plugin机制管理GPU资源,但GPU资源不可分割,导致利用率低和调度问题。优化方案包括: GPU共享:使用HAMI或NVIDIA GPU Operator实现显存和算力分配 节点池隔离:将训练与推理任务分配到不同节点池 资源配额:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

加倍巴巴

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值