使用节点污点控制 POD 放置 115 3.7.1. 了解污点和容限 116 3.7.1.1. 了解如何使用容限秒数来延迟 pod 驱除 118 3.7.1.2. 了解如何使用多个污点 119 3.7.1.3. 了解 pod 调度和节点状况（根据状况保留节点） 120 3.7.1.4. 了解根据状况驱除 pod（基于垃圾的驱除） 120 3.7.1.5. 容限所有污点 121 121 3.7.2. 添加污点和容限 121 3.7.2.1. 使用机器集添加污点和容限 123 3.7.2.2. 使用污点和容限将用户绑定到节点 125 3.7.2.3. 使用节点选择器和容限创建项目 125 3.7.2.4. 使用污点和容限控制具有特殊硬件的节点 126 3.7.3. 删除污点和容限 127 3.8. 使用节点选择器将 POD 放置到特定节点 128 3 OpenShift Container Platform 中可用的高级调度功能控制 pod 调度： ☐ 节点到 pod 的绑定规则，如 pod 关联性、节点关联性和反关联性。 ☐ 节点标签和选择器。 污点和容限。 Pod 拓扑分布约束。 ☐ 自定义调度程序。 - 配置 descheduler 以根据特定策略驱除 pod，以便调度程序将 pod 重新调度到更合适的节点。 - 配置 pod 如何使用

工作负载，您可以通过在集群中创建多个隔离的 Argo CD 实例来安全地并声明性地隔离基础架构工作负载，并完全控制 Argo CD 实例的功能。另外，您可以在多个开发人员命名空间中以声明性方式管理这些 Argo CD 实例。通过使用污点，您可以确保只有基础架构组件在这些节点上运行。  runOnInfra: true 4. 可选：在基础架构节点上应用污点并隔离工作负载，并防止其他工作负载调度到这些节点上。 $ oc adm taint nodes -l node-role.kubernetes.io/infra infra=reserved:NoSchedule infra=reserved:NoExecute 5. 可选：如果您将污点应用到节点，您可以在 GitOpsService CR kubernetes.io/infra 标签的节点。 #### 1.3. 其他资源 - 如需有关污点和容限的更多信息，请参阅使用节点污点控制 pod 放置。 ● 有关基础架构机器集的更多信息，请参阅 创建基础架构机器集。

使用节点污点控制 POD 放置 151 3.6.1. 了解污点和容限 151 3.6.1.1. 了解如何使用容限秒数来延迟 pod 驱除 155 3.6.1.2. 了解如何使用多个污点 155 3.6.1.3. 了解 pod 调度和节点状况（根据状况保留节点） 157 3.6.1.4. 了解根据状况驱除 pod（基于垃圾的驱除） 158 3.6.1.5. 容限所有污点 159 159 3.6.2. 添加污点和容限 160 3.6.2.1. 使用机器集添加污点和容限 162 3.6.2.2. 使用污点和容限将用户绑定到节点 164 3.6.2.3. 使用污点和容限控制具有特殊硬件的节点 165 3.6.3. 删除污点和容限 166 3.7. 使用节点选择器将 POD 放置到特定节点 167 3.7.1. 关于节点选择器 167 3.7.2. 使用节点选择器控制 OpenShift Container Platform 中可用的高级调度功能控制 pod 调度： 节点对 pod 绑定规则，如 pod 关联性、节点关联性和反关联性。 ☐ 节点标签和选择器。 污点和容限。 Pod 拓扑分布限制。 ☐ 自定义调度程序. - 将 descheduler 配置为根据特定策略驱除 pod，以便调度程序将 pod 重新调度到更合适的节点。 - 配置 pod 控制器重启后

执行检测 IAST控制台 污点传播阶段识别污点源 污点传播 污点变量1 污染过程 污点变量2 变量1 | 污点标记 污点变量3 变量2 无害处理 处理过程 污点变量a 污点变量b 优点 污点汇聚点 污点变量4 变量c KUBERNETES COMMUNITY DAYS DALIAN 污点数据是指来自程序外部的数据，污点数据有可能包含恶意的攻击数据

can schedule pods on it. # kubectl describe node master1.cof-lee.com | grep -i Taints #查看 master 结点的污点 # kubectl taint nodes --all node-role.kubernetes.io/control-plane- # kubectl taint nodes --all node-role 4 ★将 node 结点移出 k8s 集群 master 结点上# kubectl taint node 结点名 keyrm:NoExecute #先打上污点，驱逐工作负载 pod，等待几分钟，确认目标 node 结点上没有工作 pod 运行后，再删除 master 结点上# kubectl delete nodes 结点名 #将目标结点从集群里删除 -owide ## ★DaemonSet 控制器 DaemonSet 用于在集群中的全部节点上同时运行一份指定的 pod 副本（master 打了污点，所以默认不运行，可以设置容忍度）后续新加入集群的工作节点也会自动创建一个相关的 pod 副本，这些 pod 一般是执行系统级操作任务的服务，如应用代理，监控，日志收集等 # vi monit.daemonset

整理到数据存储或索引中，然后将每个索引划分为多个碎片，称为分片 (shard)。 ## taint 污点可确保 pod 调度到适当的节点上。您可以在节点上应用一个或多个污点。 ## 容限 (tolerations) 您可以将容限应用到 pod。容限 (toleration) 允许调度程序调度具有匹配污点的 pod。 ## Web 控制台 用于管理 OpenShift Container Platform #### 4.7. 使用容忍度来控制 OPENSHIFT LOGGING POD 放置 您可以使用污点和容限来确保 OpenShift Logging pod 在特定节点上运行，并确保其他工作负载不在这些节点上运行。 污点和容忍度是简单的 key:value 对。节点上的污点指示节点排斥所有不容许该污点的 pod。 key 是最长为 253 个字符的任意字符串，value 则是最长为 63 个字 在哪些节点上运行，并防止其他工作负载使用这些节点。 您可以通过 ClusterLogging 自定义资源（CR）将容限应用到日志存储 pod，并通过节点规格将污点应用到节点。节点上的污点是一个 key:value 对，它指示节点排斥所有不容许该污点的 pod。通过使用不在其他 pod 上的特定 key:value 对，可以确保仅日志存储 pod 能够在该节点上运行。 默认情况下，日志存储 pod 具有以下容忍度：

#### 4.7. 使用容忍度来控制 OPENSHIFT LOGGING POD 放置 您可以使用污点和容限来确保 OpenShift Logging pod 在特定节点上运行，并确保其他工作负载不在这些节点上运行。 污点和容忍度是简单的 key:value 对。节点上的污点指示节点排斥所有不容许该污点的 pod。 key 是最长为 253 个字符的任意字符串，value 则是最长为 63 个字 在哪些节点上运行，并防止其他工作负载使用这些节点。 您可以通过 ClusterLogging 自定义资源（CR）将容限应用到日志存储 pod，并通过节点规格将污点应用到节点。节点上的污点是一个 key:value 对，它指示节点排斥所有不容许该污点的 pod。通过使用不在其他 pod 上的特定 key:value 对，可以确保仅日志存储 pod 能够在该节点上运行。 默认情况下，日志存储 pod 具有以下容忍度： operator: "Exists" ## 先决条件 ● 必须安装 OpenShift Logging 和 Elasticsearch。 ## 流程 1. 使用以下命令，将污点添加到要在其上调度 OpenShift Logging pod 的节点： $ oc adm taint nodes =: 例如：

确认 ControllerManager 状态为 active。 ### 3. 调整 Pod 对节点不健康的容忍时长 ## 在创建 Pod 时, 如无特别指定, 节点控制器会为 Pod 添加如下污点: tolerations: - key: "node.kubernetes.io/unreachable" operator: "Exists" effect: "NoExecute" unreachable / not-ready 污点自动添加的 NoExecute 的容忍度将不会指定 tolerationSeconds, 保证出现相应问题时 DaemonSet 中的 Pod 永远不会被驱逐。 ### 3.1 调整默认容忍时长 Kubernetes 为 Pod 自动添加的针对 unreachable / not-ready 污点的容忍时长由 APIServer 中的相应参数控制 中添加参数 --default-not-ready-toleration-seconds=100 及 --default-unreachable-toleration-seconds=100，将对污点 NotReady:NoExecute 及 Unreachable:NoExecute 的容忍时长（以秒记，默认为 300）调整为 100s，修改前请做好配置文件备份； 2. 执行 systemctl

fc88ae806/p138_4.jpg) 指定一个污点，以防止将用户工作负载调度到 infra 节点上。  ## 注意 在基础架构节点上添加 NoSchedule 污点后，在该节点上运行的现有 DNS pod 被标记为 misscheduled。您必须删除或在 指定基础架构 ID 和区域。  指定一个污点，以防止将用户工作负载调度到 infra 节点上。污点后，在该节点上运行的现有 DNS pod 被标记为 misscheduled。您必须删除或在 misscheduled DNS pod 中添加容限。 在 AWS 上运行的机器集支持非保证的 Spot

pod 的容限 污点可用于节点，以防止它们运行常规工作负载。要允许 Local Storage Operator 使用污点节点，您必须在 Pod 或 DaemonSet 定义中添加容限。这允许在这些污点节点上运行所创建的资源。 您可以通过 LocalVolume 资源把容限应用到 Local Storage Operator pod，通过节点规格把污点应用到一个节点。节点上的污点指示节点排斥所有不容许该污点的 不容许该污点的 pod。使用一个没有存在于其他 pod 上的特定污点可确保 Local Storage Operator pod 也可以在该节点上运行。  ## 重要 污点与容限由 key、value 和 effect 组成。作为参数，它表示为 允许您将其中一个参数留空。 ## 先决条件 安装了 Local Storage Operator。 本地磁盘已附加到带有一个污点的 OpenShift Container Platform 节点上。 污点节点可以置备本地存储。 ## 流程 配置本地卷以便在污点节点上调度： 1. 修改定义 Pod 的 YAML 文件并添加 LocalVolume 规格,如下例所示： apiVersion: