24.07.05 자료 준비 - kubelet의 위치만 남음

[guswns1659]

큰 개념

궁금한거 1순위

• Qos O
• istio O
• namespace O

궁금한거 2순위

• kubelet의 위치 O

[guswns1659]

팟

• annotations
• service account
• Qos class
• Tolerations
• volumes
• resources
  • requests
  • limits

containers

• mounts

[guswns1659]

애노테이션과 라벨의 차이

Annotations과 Labels의 차이점

• 용도:

  • Annotations: Kubernetes 객체에 부가적인 메타데이터를 저장하는 데 사용됩니다. 객체의 동작에 직접적인 영향을 미치지 않습니다.
  • Labels: Kubernetes 객체를 식별하고 그룹화하는 데 사용됩니다. 객체의 동작에 직접적으로 영향을 미치며, 주로 선택기(selector)로 사용됩니다.

• 동작에 대한 영향:

  • Annotations: Kubernetes 시스템의 동작에 직접적인 영향을 주지 않습니다.
  • Labels: Kubernetes 시스템의 동작에 직접적으로 영향을 미치며, 파드 선택, 서비스 디스커버리, 오토스케일링 등에 사용됩니다.

Annotations이 필요한 이유

1. 메타데이터 저장:

   • 객체에 대한 부가적인 정보를 저장할 수 있습니다 (예: 생성 시간, 소유자, 빌드/배포 정보).

2. 외부 도구와의 통합:

   • 모니터링 도구, 로그 관리 시스템 등 외부 도구와의 통합에 유용합니다.

3. 자동화 및 스크립팅:

   • 자동화된 스크립트나 운영 도구에서 객체에 대한 추가 데이터를 저장하고 이를 기반으로 다양한 작업을 수행할 수 있습니다.

4. 버전 관리 및 추적:

   • 객체의 버전 정보나 Git 커밋 해시 등을 저장하여 버전 관리 및 추적에 유용합니다.

5. 객체 수명 주기 관리:

   • 객체의 생성 시간, 마지막 수정 시간 등 수명 주기 이벤트를 기록할 수 있습니다.

[guswns1659]

서비스 어카운트

서비스 계정 요약

Kubernetes에서 서비스 계정(Service Account)은 파드가 API 서버와 상호작용할 때 사용하는 인증 수단입니다. 서비스 계정은 파드에 필요한 권한을 부여하고, 안전하게 API 서버와 통신할 수 있도록 합니다.

주요 역할

1. API 서버와의 상호작용: 파드가 API 서버와 직접 통신하여 리소스를 관리하거나 클러스터 상태를 조회할 수 있습니다.
2. 권한 관리: 서비스 계정을 통해 파드에 필요한 최소한의 권한만 부여하여 보안을 강화합니다.
3. 자동 토큰 생성 및 주입: Kubernetes는 서비스 계정을 설정하면 자동으로 인증 토큰을 생성하고 파드 내에 주입합니다.
4. 작업 분리: 여러 파드가 서로 다른 작업을 수행할 때, 각 파드에 별도의 서비스 계정을 할당하여 작업을 분리할 수 있습니다.

서비스 계정 설정 예시

1. 서비스 계정 생성:

   apiVersion: v1
   kind: ServiceAccount
   metadata:
   name: my-service-account
   namespace: default

2. 파드에 서비스 계정 할당:

   apiVersion: v1
   kind: Pod
   metadata:
   name: mypod
   spec:
   serviceAccountName: my-service-account
   containers:
   - name: mycontainer
   image: myimage

3. Role과 RoleBinding을 통한 권한 부여:

   Role 생성:

   apiVersion: rbac.authorization.k8s.io/v1
   kind: Role
   metadata:
    namespace: default
    name: pod-reader
   rules:
   - apiGroups: [""]
    resources: ["pods"]
    verbs: ["get", "watch", "list"]

   RoleBinding 생성:

   apiVersion: rbac.authorization.k8s.io/v1
   kind: RoleBinding
   metadata:
    name: read-pods
    namespace: default
   subjects:
   - kind: ServiceAccount
    name: my-service-account
    namespace: default
   roleRef:
    kind: Role
    name: pod-reader
    apiGroup: rbac.authorization.k8s.io

파드와 API 서버 간의 통신 사례

사례: 파드가 자신의 로그를 조회

파드 내부에서 실행되는 애플리케이션이 자신의 로그를 조회하기 위해 API 서버와 통신할 수 있습니다. 이때, 파드는 서비스 계정의 인증 토큰을 사용하여 API 서버와 안전하게 통신합니다.

인증 토큰 사용 예시

파드 내부에서 인증 토큰을 사용하여 API 서버와 통신할 때, 인증 토큰은 HTTP 요청의 Authorization 헤더에 포함됩니다. 예를 들어, Authorization: Bearer <토큰> 형식으로 사용됩니다.

요약된 흐름

1. 서비스 계정 생성: 새로운 서비스 계정을 정의하고 생성합니다.
2. 파드에 할당: 파드를 생성할 때 serviceAccountName 필드를 사용하여 서비스 계정을 할당합니다.
3. 자동 토큰 주입: Kubernetes가 서비스 계정의 인증 토큰을 파드 내에 자동으로 주입합니다.
4. 권한 부여: Role과 RoleBinding을 사용하여 서비스 계정에 필요한 권한을 부여합니다.
5. 파드와 API 서버 통신: 파드는 주입된 토큰을 사용하여 API 서버와 안전하게 통신하고, 필요한 작업을 수행할 수 있습니다.

[guswns1659]

qos

QoS 클래스 요약 및 스케줄링 예시

Kubernetes의 QoS 클래스(Quality of Service Class)는 파드의 자원 요청(request)과 자원 제한(limit)에 따라 파드의 우선순위를 결정하고, 클러스터 자원이 부족할 때 자원 할당의 우선순위를 결정합니다. QoS 클래스는 Guaranteed, Burstable, BestEffort의 세 가지로 나뉩니다.

QoS 클래스 종류 및 스케줄링 예시

1. Guaranteed 파드

• 자원 요청(Requests): 모든 컨테이너에 대해 명확하게 설정됨
• 자원 제한(Limits): 모든 컨테이너에 대해 요청과 동일하게 설정됨
• 스케줄링 우선순위: 가장 높음
• 예시:

  apiVersion: v1
  kind: Pod
  metadata:
  name: guaranteed-pod
  spec:
  containers:
  - name: mycontainer
    image: myimage
    resources:
      requests:
        memory: "50Mi"
        cpu: "250m"
      limits:
        memory: "50Mi"
        cpu: "250m"

• 스케줄링 상황:
  • 노드의 남은 메모리: 100Mi
  • 파드의 요청 메모리: 50Mi
  • 결론: 노드A에 100Mi의 메모리가 남아있는 경우, 이 파드는 스케줄러가 자원 요청을 충족할 수 있음을 확인하고 스케줄링할 수 있습니다. Guaranteed 파드는 자원이 부족한 상황에서도 보호됩니다.

2. Burstable 파드

• 자원 요청(Requests): 일부 컨테이너에 설정됨
• 자원 제한(Limits): 요청과 다르게 설정될 수 있음
• 스케줄링 우선순위: 중간
• 예시:

  apiVersion: v1
  kind: Pod
  metadata:
  name: burstable-pod
  spec:
  containers:
  - name: mycontainer
    image: myimage
    resources:
      requests:
        memory: "30Mi"
        cpu: "250m"
      limits:
        memory: "150Mi"
        cpu: "500m"

• 스케줄링 상황:
  • 노드의 남은 메모리: 100Mi
  • 파드의 요청 메모리: 30Mi
  • 결론: 노드A에 100Mi의 메모리가 남아있는 경우, 이 파드는 30Mi의 요청을 충족할 수 있으므로 스케줄링될 수 있습니다. 그러나 실행 중에 150Mi까지 사용할 수 있어 자원 부족 상황이 발생할 수 있습니다.

3. BestEffort 파드

• 자원 요청(Requests): 설정되지 않음
• 자원 제한(Limits): 설정되지 않음
• 스케줄링 우선순위: 가장 낮음
• 예시:

  apiVersion: v1
  kind: Pod
  metadata:
  name: besteffort-pod
  spec:
  containers:
  - name: mycontainer
    image: myimage

• 스케줄링 상황:
  • 노드의 남은 메모리: 100Mi
  • 파드의 요청 메모리: 없음 (0Mi로 간주)
  • 결론: 노드A에 100Mi의 메모리가 남아있는 경우, BestEffort 파드는 자원 요청이 없으므로 스케줄링될 수 있습니다. 그러나 자원 부족 시 가장 먼저 종료될 수 있습니다.

비교와 결론

• Guaranteed 파드: 자원 예약과 제한이 명확하여, 자원 스케줄링의 예측 가능성과 효율성을 높입니다. 자원 부족 시 가장 보호됩니다.
• Burstable 파드: 최소 자원 요청을 기반으로 스케줄링되지만, 자원 제한이 달라 실제 사용량이 변동될 수 있습니다. 자원 부족 시 중간 우선순위를 가집니다.
• BestEffort 파드: 자원 요청과 제한이 없어 자원 사용 예측이 어렵지만, 스케줄링은 용이합니다. 자원 부족 시 가장 먼저 종료됩니다.

limit을 초과할 경우

물론입니다. 자원 제한(limits)을 초과할 때 발생하는 상황만 남겨서 설명드리겠습니다.

자원 제한(limits)을 초과할 때 발생하는 상황

CPU 제한 초과

• CPU 제한 초과: CPU 자원 제한을 초과하려고 할 때, 실제로 프로세스가 종료되지는 않지만, CPU 자원 사용량이 강제로 제한됩니다. 이는 CPU 제한이 "소프트 리미트(soft limit)"로 동작하기 때문입니다.
• 스레들링: 컨테이너 런타임은 해당 파드의 CPU 사용량을 제한하며, 사용 가능한 CPU 자원을 초과하지 못하게 합니다. 이 경우, 파드는 제한된 CPU 자원 내에서 실행되며, CPU 시간이 부족해질 수 있습니다.

메모리 제한 초과

• 메모리 제한 초과: 메모리 제한을 초과하려고 하면, 시스템에서 Out Of Memory(OOM) 상태가 발생하고, OOMKiller가 활성화됩니다.
• 컨테이너 종료: 메모리 제한을 초과하면 컨테이너가 강제로 종료될 수 있습니다. Kubernetes는 메모리 제한을 초과한 컨테이너를 재시작하거나 재배포합니다.

예시

CPU 제한 초과 예시

파드가 CPU 자원 제한을 초과하려고 할 때, 사용 가능한 CPU 자원 내에서 실행되도록 제한됩니다.

apiVersion: v1
kind: Pod
metadata:
  name: cpu-limit-pod
spec:
  containers:
  - name: mycontainer
    image: myimage
    resources:
      requests:
        cpu: "500m"
      limits:
        cpu: "1"

메모리 제한 초과 예시

파드가 메모리 자원 제한을 초과하려고 할 때, 컨테이너가 종료되고 Kubernetes가 이를 재시작합니다.

apiVersion: v1
kind: Pod
metadata:
  name: memory-limit-pod
spec:
  containers:
  - name: mycontainer
    image: myimage
    resources:
      requests:
        memory: "128Mi"
      limits:
        memory: "256Mi"

결론

• CPU 자원:

  • 제한(limits): 제한을 초과하면 CPU 사용량이 제한되며, 강제로 프로세스를 종료하지 않습니다.

• 메모리 자원:

  • 제한(limits): 제한을 초과하면 OOMKiller가 활성화되어 컨테이너를 종료시킵니다.

자원 제한을 적절히 설정하여 파드의 안정적인 동작을 보장하는 것이 중요합니다. 추가적인 질문이 있으시면 말씀해 주세요!

[guswns1659]

tolerations

Tolerations와 Taints의 영어 단어 의미

• Taints: "오염" 또는 "더럽힘"을 의미합니다. Kubernetes에서 테인트는 노드에 적용되어 특정 파드가 해당 노드에서 실행되지 않도록 하는 메커니즘입니다. 즉, 노드에 '오염'을 표시하여 특정 파드를 멀리하게 만듭니다.

• Tolerations: "관용" 또는 "용인"을 의미합니다. Kubernetes에서 톨러레이션은 파드가 특정 테인트를 '관용'하여 무시하고 해당 노드에서 실행될 수 있도록 하는 메커니즘입니다. 즉, 파드가 노드의 '오염'을 용인하고 해당 노드에서 실행될 수 있도록 합니다.

Tolerations (톨러레이션)

Kubernetes에서 Tolerations는 파드가 특정 테인트(taint)를 가진 노드에서 실행될 수 있도록 허용하는 방법입니다. Tolerations와 taints는 함께 사용되어 특정 파드가 특정 노드에 스케줄링되는 것을 제어하는 중요한 메커니즘을 형성합니다. 이는 노드의 자원을 효율적으로 사용할 수 있게 하며, 특정 조건에서 파드를 격리하거나 우선순위를 설정하는 데 유용합니다.

테인트(Taints)와 톨러레이션(Tolerations)의 개념

• Taints: 노드에 적용되어 특정 파드가 해당 노드에서 실행되지 않도록 합니다. 테인트는 키-값 쌍과 효과(effects)로 구성됩니다.
• Tolerations: 파드에 적용되어 특정 테인트를 무시하도록 합니다. 톨러레이션을 통해 파드는 특정 테인트를 가진 노드에서 실행될 수 있습니다.

테인트 예시

kubectl taint nodes <node-name> key=value:effect

• Key: 테인트의 키
• Value: 테인트의 값
• Effect: 테인트가 가지는 효과로, NoSchedule, PreferNoSchedule, NoExecute 중 하나가 될 수 있습니다.

톨러레이션(Tolerations) 예시

톨러레이션을 통해 파드가 특정 테인트를 무시하도록 설정할 수 있습니다. 톨러레이션은 파드의 스펙에 정의됩니다.

파드 정의 예시

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  tolerations:
  - key: "key1"
    operator: "Equal"
    value: "value1"
    effect: "NoSchedule"
  containers:
  - name: mycontainer
    image: myimage

톨러레이션 필드

• key: 테인트의 키와 일치해야 하는 키입니다.
• operator: 키와 값을 비교하는 연산자입니다. Equal(기본값) 또는 Exists가 될 수 있습니다.
• value: 테인트의 값과 일치해야 하는 값입니다.
• effect: 테인트의 효과입니다. NoSchedule, PreferNoSchedule, NoExecute 중 하나입니다.
• tolerationSeconds: (선택적) NoExecute 효과에만 적용되며, 파드가 노드에서 얼마나 오래 허용될지를 지정합니다.

톨러레이션 효과

1. NoSchedule:

   • 노드에 테인트가 있을 경우, 톨러레이션이 없는 파드는 해당 노드에 스케줄링되지 않습니다.
   • 톨러레이션이 있으면 파드가 해당 노드에 스케줄링될 수 있습니다.

2. PreferNoSchedule:

   • 노드에 테인트가 있을 경우, 톨러레이션이 없는 파드는 가능한 한 해당 노드에 스케줄링되지 않도록 시도합니다.
   • 톨러레이션이 있으면 파드가 해당 노드에 스케줄링될 수 있습니다.

3. NoExecute:

   • 노드에 테인트가 있을 경우, 톨러레이션이 없는 파드는 해당 노드에서 즉시 제거됩니다.
   • 톨러레이션이 있으면 파드는 해당 노드에서 계속 실행될 수 있습니다. tolerationSeconds 필드가 지정된 경우, 지정된 시간 동안만 파드가 해당 노드에 남아 있을 수 있습니다.

사용 예시

테인트 추가

kubectl taint nodes node1 key1=value1:NoSchedule

위 명령어는 node1에 key1=value1이라는 테인트를 추가하고, NoSchedule 효과를 적용합니다. 이는 톨러레이션이 없는 파드가 node1에 스케줄링되지 않도록 합니다.

톨러레이션 추가

파드가 해당 노드에 스케줄링될 수 있도록 톨러레이션을 추가합니다.

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  tolerations:
  - key: "key1"
    operator: "Equal"
    value: "value1"
    effect: "NoSchedule"
  containers:
  - name: mycontainer
    image: myimage

위 설정은 key1=value1 테인트를 가진 노드에 NoSchedule 효과가 있어도 mypod가 스케줄링될 수 있도록 합니다.

요약

• Tolerations는 파드가 특정 테인트를 무시하고 특정 노드에서 실행될 수 있도록 합니다.
• Taints와 Tolerations는 함께 사용되어 노드와 파드 간의 스케줄링을 제어합니다.
• 톨러레이션은 파드의 스펙에 정의되며, 다양한 효과를 통해 파드와 노드 간의 관계를 설정합니다.

[guswns1659]

volumes

Volumes (볼륨)

Kubernetes에서 볼륨은 파드 내 여러 컨테이너가 데이터를 공유할 수 있게 하거나, 파드가 종료되더라도 데이터를 지속적으로 저장할 수 있게 합니다. 볼륨은 컨테이너의 라이프사이클을 초과하여 데이터를 유지할 수 있으므로, 컨테이너 재시작, 재배포 등의 상황에서도 데이터를 보존하는 데 유용합니다.

볼륨의 주요 개념

1. Ephemeral Volumes (휘발성 볼륨):

   • 파드의 라이프사이클 동안에만 존재하며, 파드가 삭제되면 볼륨도 삭제됩니다.
   • 예시: emptyDir, configMap, secret

2. Persistent Volumes (영구 볼륨):

   • 파드의 라이프사이클을 초과하여 존재하며, 파드가 삭제되어도 데이터가 유지됩니다.
   • 예시: persistentVolumeClaim, hostPath

볼륨 종류 및 예시

1. emptyDir

• 설명: 파드가 실행되는 동안 노드의 임시 디렉토리를 사용합니다. 파드가 삭제되면 데이터도 삭제됩니다.
• 사용 예시:

  apiVersion: v1
  kind: Pod
  metadata:
  name: emptydir-pod
  spec:
  containers:
  - name: mycontainer
    image: myimage
    volumeMounts:
    - mountPath: /data
      name: myvolume
  volumes:
  - name: myvolume
    emptyDir: {}

2. hostPath

• 설명: 노드의 파일 시스템 디렉토리를 사용합니다. 노드가 삭제되지 않는 한 데이터는 유지됩니다.
• 사용 예시:

  apiVersion: v1
  kind: Pod
  metadata:
  name: hostpath-pod
  spec:
  containers:
  - name: mycontainer
    image: myimage
    volumeMounts:
    - mountPath: /data
      name: myvolume
  volumes:
  - name: myvolume
    hostPath:
      path: /mnt/data
      type: Directory

3. configMap

• 설명: ConfigMap에 저장된 설정 데이터를 볼륨으로 마운트합니다.
• 사용 예시:

  apiVersion: v1
  kind: Pod
  metadata:
  name: configmap-pod
  spec:
  containers:
  - name: mycontainer
    image: myimage
    volumeMounts:
    - mountPath: /config
      name: config-volume
  volumes:
  - name: config-volume
    configMap:
      name: myconfigmap

4. secret

• 설명: Secret에 저장된 민감한 데이터를 볼륨으로 마운트합니다.
• 사용 예시:

  apiVersion: v1
  kind: Pod
  metadata:
  name: secret-pod
  spec:
  containers:
  - name: mycontainer
    image: myimage
    volumeMounts:
    - mountPath: /secrets
      name: secret-volume
  volumes:
  - name: secret-volume
    secret:
      secretName: mysecret

5. persistentVolumeClaim

• 설명: PersistentVolumeClaim을 통해 영구 저장소를 요청하여 사용합니다. 데이터는 파드가 삭제되더라도 유지됩니다.
• 사용 예시:

  apiVersion: v1
  kind: Pod
  metadata:
  name: pvc-pod
  spec:
  containers:
  - name: mycontainer
    image: myimage
    volumeMounts:
    - mountPath: /data
      name: pvc-volume
  volumes:
  - name: pvc-volume
    persistentVolumeClaim:
      claimName: mypvc

볼륨의 사용 시나리오

1. 데이터 공유:

   • 동일한 파드 내 여러 컨테이너가 데이터를 공유할 필요가 있을 때 사용됩니다. 예를 들어, 로그 데이터를 공유하거나, 설정 파일을 공유할 때 유용합니다.

2. 데이터 영속성:

   • 파드가 삭제되거나 재시작되더라도 데이터를 유지해야 하는 경우에 사용됩니다. 예를 들어, 데이터베이스의 데이터를 저장할 때 사용합니다.

3. 설정 및 시크릿 관리:

   • ConfigMap이나 Secret을 사용하여 설정 데이터나 민감한 데이터를 컨테이너에 주입할 때 사용됩니다.

요약

• Volumes는 파드 내 여러 컨테이너가 데이터를 공유하거나, 파드가 종료되더라도 데이터를 유지할 수 있게 합니다.
• Ephemeral Volumes: 파드의 라이프사이클 동안에만 존재합니다 (emptyDir 등).
• Persistent Volumes: 파드의 라이프사이클을 초과하여 존재하며 데이터를 유지합니다 (persistentVolumeClaim 등).

[guswns1659]

namespace와 resourceQuota

네임스페이스(Namespace)와 리소스 쿼터(Resource Quotas)

Kubernetes의 네임스페이스는 클러스터 내에서 논리적인 격리 단위를 제공하여 리소스를 그룹화하고 관리하는 데 사용됩니다. 네임스페이스는 여러 팀이나 프로젝트가 동일한 클러스터를 공유하면서도 리소스를 분리하고 관리할 수 있게 합니다. ResourceQuota는 특정 네임스페이스 내에서 사용할 수 있는 리소스의 총량을 제한하고 관리하는 데 사용됩니다.

네임스페이스의 주요 개념

1. 리소스 격리:

   • 네임스페이스는 동일한 클러스터 내에서 리소스를 논리적으로 분리합니다. 이를 통해 서로 다른 프로젝트나 팀이 리소스를 충돌 없이 사용할 수 있습니다.

2. 리소스 할당:

   • 네임스페이스는 리소스 할당과 제한을 적용할 수 있습니다. 이를 통해 각 네임스페이스에 할당된 자원을 관리할 수 있습니다.

3. 액세스 제어:

   • 네임스페이스는 RBAC(Role-Based Access Control)와 결합하여 사용자가 특정 네임스페이스에 대한 접근 권한을 제어할 수 있습니다.

4. 이름 충돌 방지:

   • 네임스페이스는 동일한 이름의 리소스가 서로 다른 네임스페이스에 존재할 수 있도록 하여 이름 충돌을 방지합니다.

Resource Quota의 주요 개념

1. 네임스페이스 단위 적용:

   • ResourceQuota는 특정 네임스페이스 내에서 사용할 수 있는 리소스의 최대 값을 정의하여 네임스페이스 간의 자원 사용을 공정하게 관리합니다.

2. 자원 사용 제한:

   • ResourceQuota를 통해 네임스페이스 내에서 사용할 수 있는 자원의 총량을 제한할 수 있습니다. 예를 들어, CPU, 메모리, 파드 수, 서비스 수 등을 제한할 수 있습니다.

예시

네임스페이스 생성

apiVersion: v1
kind: Namespace
metadata:
  name: mynamespace

kubectl apply -f namespace.yaml

ResourceQuota 설정

apiVersion: v1
kind: ResourceQuota
metadata:
  name: example-quota
  namespace: mynamespace
spec:
  hard:
    pods: "10"
    requests.cpu: "4"
    requests.memory: "8Gi"
    limits.cpu: "10"
    limits.memory: "16Gi"

kubectl apply -f resourcequota.yaml

파드의 Requests 및 Limits vs ResourceQuota의 Requests 및 Limits

파드의 Requests 및 Limits

• Requests:

  • 목적: 파드의 컨테이너가 정상적으로 실행되기 위해 필요한 최소한의 자원을 정의합니다.
  • 스케줄링 기준: 스케줄러는 파드를 노드에 배치할 때, 요청된 자원을 기준으로 적절한 노드를 선택합니다.
  • 보장된 자원: 요청된 자원은 파드가 실행되는 동안 해당 파드에 보장됩니다.

• Limits:

  • 목적: 파드의 컨테이너가 사용할 수 있는 자원의 최대치를 정의합니다.
  • 자원 사용 제어: 파드가 제한된 자원을 초과하려고 하면, CPU의 경우 자원 사용이 제한되거나, 메모리의 경우 OOMKiller에 의해 컨테이너가 종료될 수 있습니다.

ResourceQuota의 Requests 및 Limits

• Requests:

  • 목적: 특정 네임스페이스 내에서 요청할 수 있는 자원의 총량을 제한합니다.
  • 자원 요청 관리: 네임스페이스 내 모든 파드가 요청할 수 있는 자원의 총량을 제한함으로써, 네임스페이스 간의 자원 사용을 공정하게 관리합니다.

• Limits:

  • 목적: 특정 네임스페이스 내에서 사용할 수 있는 자원의 총량을 제한합니다.
  • 자원 사용 관리: 네임스페이스 내 모든 파드가 사용할 수 있는 자원의 총량을 제한하여, 특정 네임스페이스가 과도한 자원을 사용하지 않도록 합니다.

상호작용 및 제한 시나리오

1. 파드 생성 및 자원 요청:

   • 네임스페이스 내에서 파드를 생성할 때, 파드의 자원 요청과 제한이 ResourceQuota의 제한을 초과하지 않는지 확인합니다.
   • 예를 들어, 네임스페이스의 ResourceQuota가 requests.memory: 8Gi로 설정된 경우, 네임스페이스 내 모든 파드의 자원 요청(memory)이 8Gi를 초과할 수 없습니다.

2. 자원 요청 초과 시:

   • 만약 네임스페이스 내에서 새로운 파드가 생성될 때, 해당 파드의 자원 요청이 ResourceQuota의 제한을 초과하면 파드 생성이 실패합니다.

3. 실행 중인 파드 자원 사용:

   • 파드가 실행 중일 때, 자원 제한을 초과하면 CPU 사용이 제한되거나, 메모리 사용이 초과될 경우 OOMKiller에 의해 컨테이너가 종료됩니다.

요약

• 네임스페이스: Kubernetes 클러스터 내에서 리소스를 논리적으로 격리하고 관리하는 단위입니다.
• Resource Quota: 특정 네임스페이스 내에서 사용할 수 있는 리소스의 총량을 제한하는 메커니즘입니다.
• 파드의 Requests 및 Limits: 파드의 자원 사용을 제어하고, 스케줄링 및 실행 시의 자원 사용을 관리합니다.
• ResourceQuota의 Requests 및 Limits: 네임스페이스 내에서 요청할 수 있는 자원과 사용할 수 있는 자원의 총량을 관리하여, 네임스페이스 간의 자원 사용을 공정하게 제한합니다.

[guswns1659]

kubelet의 위치

팟이 아닌 노드에서 실행되는 에이전트로 노드에 접속해서 프로세스로 떠있다.

minikube 워커 노드에 접속한 뒤 kubelet이 떠 있는 상태를 확인