k8s内置污点深度解析

Kubernetes内置污点深度解析：节点管理与容错实践指南

Kubernetes通过污点（Taints）与容忍度（Tolerations）机制实现精细化节点调度管理。本文将深入解析9类核心内置污点，配合生产级配置示例，帮助运维人员构建高可靠的集群调度体系。

---

一、污点核心工作机制

1. 污点三元组

每个污点包含三个关键属性：

<Key>=<Value>:<Effect>

• Key：污点标识（如node.kubernetes.io/not-ready）
• Value：可选参数（通常为空）
• Effect：调度策略（NoSchedule/NoExecute/PreferNoSchedule）

2. 污点传播路径

---

二、8类内置污点全解析

1. 节点健康类污点

污点名称	触发条件	典型影响	处理建议
node.kubernetes.io/not-ready	kubelet心跳超时（默认40s）	阻止新Pod调度	检查节点kubelet进程及网络连接
node.kubernetes.io/unreachable	控制面判定节点失联（默认5m）	驱逐现有Pod（若未设置容忍）	排查节点硬件或网络故障

生产场景示例：

# 查看节点污点状态
kubectl get nodes -o custom-columns=NAME:.metadata.name,TAINTS:.spec.taints

# 节点失联后的Pod驱逐时间线
控制面失联检测（5m） → 标记污点 → Pod容忍宽限期（默认5m） → 强制驱逐

2. 资源压力类污点

污点名称	触发阈值	资源类型	自动恢复条件
node.kubernetes.io/out-of-disk	根分区可用空间 < 10%	磁盘容量	空间释放后自动清除
node.kubernetes.io/memory-pressure	内存可用量 < 100Mi	内存	内存释放或扩容后清除
node.kubernetes.io/disk-pressure	节点inode使用率 > 85%	磁盘inode	文件清理后自动解除

资源压力检测配置：

# kubelet配置示例（/var/lib/kubelet/config.yaml）
evictionHard:
  memory.available: "500Mi"
  nodefs.available: "10%"
  imagefs.available: "15%"
evictionPressureTransitionPeriod: 2m0s

3. 网络类污点

污点名称	触发条件	关联组件
node.kubernetes.io/network-unavailable	CNI插件初始化失败	Calico/Flannel
node.kubernetes.io/pid-pressure	进程ID耗尽	内核参数限制

网络故障排查命令：

# 检查CNI插件日志
journalctl -u kubelet -f | grep -E 'NetworkPluginNotReady|CNI'

# 查看节点PID限制
cat /proc/sys/kernel/pid_max

4. 管理类污点

污点名称	操作方式	调度策略
node.kubernetes.io/unschedulable	kubectl cordon	禁止新Pod调度
node.kubernetes.io/no-schedule	手动添加	严格禁止调度
node.kubernetes.io/no-execute	手动添加	驱逐现有Pod

节点维护操作示例：

# 进入维护模式（添加NoExecute污点）
kubectl taint nodes node01 maintenance=true:NoExecute

# 解除维护
kubectl taint nodes node01 maintenance:NoExecute-

---

三、容忍度配置进阶技巧

1. 核心系统组件容忍配置

# kube-proxy DaemonSet示例
tolerations:
- key: "node-role.kubernetes.io/master"
  operator: "Exists"
  effect: "NoSchedule"
- key: "node.kubernetes.io/unreachable"
  operator: "Exists"
  effect: "NoExecute"
  tolerationSeconds: 300  # 允许在故障节点运行5分钟

2. 关键业务Pod容错策略

apiVersion: apps/v1
kind: Deployment
metadata:
  name: critical-app
spec:
  template:
    spec:
      tolerations:
      - key: "node.kubernetes.io/not-ready"
        operator: "Exists"
        effect: "NoExecute"
        tolerationSeconds: 60  # 节点故障后保留1分钟
      - key: "node.kubernetes.io/unreachable"
        operator: "Exists"
        effect: "NoExecute"
        tolerationSeconds: 60

3. 污点驱逐防御机制

# Pod中断预算（PDB）示例
apiVersion: policy/v1
kind: PodDisruptionBudget
metadata:
  name: app-pdb
spec:
  minAvailable: 2
  selector:
    matchLabels:
      app: critical-app

---

四、生产环境最佳实践

1. 全局调度策略配置

# 调度器配置（/etc/kubernetes/manifests/kube-scheduler.yaml）
- --default-not-ready-toleration-seconds=60
- --default-unreachable-toleration-seconds=60

2. 节点自愈方案设计

3. 监控告警体系

# Prometheus告警规则示例
- alert: NodeTaintCritical
  expr: |
    count by (node) (kube_node_taint{effect="NoExecute"})
    > 0
  for: 5m
  labels:
    severity: critical
  annotations:
    summary: "节点 {{ $labels.node }} 处于不可调度状态"

---

总结

Kubernetes的污点机制为集群提供了多层级的故障隔离能力，运维团队需重点关注：

1. 分级容错：根据业务重要性配置差异化的容忍策略
2. 快速响应：建立污点事件到告警系统的实时链路
3. 防御性设计：结合PDB和HPA构建弹性架构

通过精准控制污点与容忍度的配合，可实现从底层基础设施到上层业务的立体化容错体系，显著提升集群的总体可用性。

---

作者：leo-zhang
版权声明：原创作品，谢绝转载！否则将追究法律责任。