אתם יכולים לאפשר לעומסי עבודה של Google Kubernetes Engine (GKE) לנהל משאבים, כמו CPU וזיכרון, עבור תהליכי צאצא באמצעות ה-API של cgroups ב-Linux. במאמר הזה מוסבר איך לתת לקונטיינרים גישת קריאה וכתיבה ל-cgroups API בלי להריץ את הקונטיינרים האלה במצב הרשאות.
מתי כדאי להשתמש ב-cgroups עם הרשאת כתיבה
כברירת מחדל, Kubernetes מספקת לכל קונטיינר Linux גישת קריאה בלבד ל-cgroups API על ידי הרכבת מערכת הקבצים /sys/fs/cgroup בכל קונטיינר.
אפשר גם לאפשר ל-GKE לטעון את מערכת הקבצים הזו במצב קריאה-כתיבה בתרמילים ספציפיים, כדי שתהליכי הבסיס יוכלו לנהל ולהגביל את המשאבים לתהליכי צאצא.
קבוצות הבקרה האלה עם הרשאות כתיבה עוזרות לשפר את האמינות באפליקציות כמו Ray, שמריצות תהליכי מערכת וקוד משתמש באותו קונטיינר. על ידי כתיבה למערכת הקבצים /sys/fs/cgroup, Ray יכול להקצות חלקים מהמשאבים של קונטיינר לתהליכים קריטיים. אפשר להשתמש ב-cgroups עם הרשאות כתיבה כדי לשפר את המהימנות של האפליקציות האלה בלי הסיכון האבטחתי שקיים בשימוש במצב הרשאות מיוחדות עבור הקונטיינרים.
לפני שמתחילים
לפני שמתחילים, חשוב לוודא שביצעתם את הפעולות הבאות:
- מפעילים את ממשק Google Kubernetes Engine API. הפעלת Google Kubernetes Engine API
- אם רוצים להשתמש ב-CLI של Google Cloud למשימה הזו, צריך להתקין ואז להפעיל את ה-CLI של gcloud. אם התקנתם בעבר את ה-CLI של gcloud, מריצים את הפקודה
gcloud components updateכדי לקבל את הגרסה העדכנית. יכול להיות שגרסאות קודמות של ה-CLI של gcloud לא יתמכו בהרצת הפקודות שמופיעות במסמך הזה.
- מוודאים שיש לכם אשכול במצב Autopilot או אשכול רגיל שפועלת בו גרסה 1.34.1-gke.2541000 ואילך. כדי ליצור אשכול חדש, אפשר לעיין במאמר בנושא יצירת אשכול Autopilot.
- מוודאים שהאשכול משתמש ב-cgroup v2. מידע נוסף מופיע במאמר בנושא העברת צמתים ל-Linux cgroup v2.
הפעלת cgroups עם הרשאות כתיבה לצמתים
כדי להפעיל קבוצות cgroups עם הרשאות כתיבה במאגרי הצמתים, צריך להתאים אישית את ההגדרה של containerd. אפשר להחיל את ההגדרה הזו על כל האוסף או על מאגרי צמתים ספציפיים באוספים רגילים.
בקובץ התצורה של containerd, מוסיפים קטע writableCgroups ומגדירים את השדה enabled לערך true. מידע נוסף זמין במאמר בנושא התאמה אישית של הגדרות containerd בצמתי GKE.
writableCgroups:
enabled: true
מציינים את קובץ התצורה המעודכן כשיוצרים או מעדכנים אשכול או מאגר צמתים.
שימוש ב-cgroups עם הרשאת כתיבה בעומסי עבודה
אחרי שמפעילים cgroups עם הרשאות כתיבה עבור אשכול או מאגרי צמתים, צריך להגדיר את עומסי העבודה כך שיעמדו בכל הדרישות הבאות:
- בוחרים צומת שמופעלים בו cgroups עם הרשאת כתיבה.
- מפעילים קבוצות cgroups עם הרשאת כתיבה עבור מאגר אחד או יותר ב-Pod.
כדי להשתמש בסיווג איכות השירות (QoS) המובטחת, צריך לעמוד באחד מהתנאים הבאים:
- בעומסי עבודה שבהם מציינים משאבים ברמת ה-Pod, צריך להגדיר ערכים שווים ל-
resources.requestsול-resources.limitsבמפרט ה-Pod. - עבור עומסי עבודה שבהם מצוינים משאבים לכל קונטיינר, צריך להגדיר ערכים שווים ל-
resources.requestsול-resources.limitsבמפרט של כל קונטיינר ב-Pod, כולל קונטיינרים של init.
- בעומסי עבודה שבהם מציינים משאבים ברמת ה-Pod, צריך להגדיר ערכים שווים ל-
כדי להגדיר את הדרישות האלה, מבצעים את השלבים הבאים:
כדי לבחור צמתים שמופעלים בהם cgroups עם הרשאת כתיבה, מוסיפים את התווית
node.gke.io/enable-writable-cgroups: "true"לשדהspec.nodeSelectorבמפרט ה-Pod:node.gke.io/enable-writable-cgroups: "true"כדי להפעיל קבוצות cgroups עם הרשאות כתיבה עבור עומס העבודה, מוסיפים אחת מהתוויות הבאות לשדה
metadata.annotationsבמפרט של ה-Pod:הפעלה לכל ה-Pod:
node.gke.io/enable-writable-cgroups: "true"הפעלה עבור קונטיינר ספציפי ב-Pod:
node.gke.io/enable-writable-cgroups.CONTAINER_NAME: "true"מחליפים את
CONTAINER_NAMEבשם הקונטיינר.
כדי להגדיר את מחלקת ה-QoS המובטחת עבור ה-Pod, צריך לציין בקשות ומגבלות שוות של CPU וזיכרון לכל קונטיינר ב-Pod או לכל ה-Pod, כמו בדוגמה הבאה:
resources: requests: cpu: "100m" memory: "100Mi" limits: cpu: "100m" memory: "100Mi"צריך לציין בקשות ומגבלות שוות לכל מאגר, גם אם מפעילים קבוצות cgroups עם הרשאת כתיבה רק לאחד מהמאגרים ב-Pod.
המפרט הסופי של ה-Pod צריך להיות דומה לדוגמאות הבאות.
בדוגמה הזו מופעלות קבוצות cgroups עם הרשאת כתיבה לכל הקונטיינרים ב-Pod:
apiVersion: v1 kind: Pod metadata: name: writable-cgroups-pod annotations: node.gke.io/enable-writable-cgroups: "true" spec: nodeSelector: node.gke.io/enable-writable-cgroups: "true" containers: - name: container image: busybox:stable command: ["/bin/sh", "-c"] args: - | trap 'echo "Caught SIGTERM, exiting..."; exit 0' TERM echo "Waiting for termination signal..." while true; do sleep 1; done resources: requests: cpu: "100m" memory: "100Mi" limits: cpu: "100m" memory: "100Mi"בדוגמה הזו מופעלות קבוצות cgroups עם הרשאת כתיבה עבור קונטיינר ספציפי ב-Pod עם כמה קונטיינרים:
apiVersion: v1 kind: Pod metadata: name: writable-cgroups-per-container annotations: node.gke.io/enable-writable-cgroups.busybox-container: "true" spec: nodeSelector: node.gke.io/enable-writable-cgroups: "true" containers: - name: busybox-container image: busybox:stable command: ["/bin/sh", "-c"] args: - | trap 'echo "Caught SIGTERM, exiting..."; exit 0' TERM echo "Waiting for termination signal..." while true; do sleep 1; done resources: requests: cpu: "100m" memory: "100Mi" limits: cpu: "100m" memory: "100Mi" - name: container-disabled image: busybox:stable command: ["/bin/sh", "-c"] args: - | trap 'echo "Caught SIGTERM, exiting..."; exit 0' TERM echo "Waiting for termination signal..." while true; do sleep 1; done resources: requests: cpu: "100m" memory: "100Mi" limits: cpu: "100m" memory: "100Mi"
אימות של מערכת הקבצים cgroup
כדי לאמת את ההרשאות במערכת הקבצים /sys/fs/cgroup של Pod או של קונטיינר, פועלים לפי השלבים הבאים:
- מזהים את ה-Pod שרוצים לבדוק. אפשר להשתמש באחת מדוגמאות ה-Pods שבקטע שימוש ב-cgroups עם הרשאות כתיבה בעומסי עבודה.
יוצרים סשן של מעטפת ב-Pod:
kubectl exec -it POD_NAME -- /bin/shמחליפים את
POD_NAMEבשם של ה-Pod.מתארים את מערכת הקבצים של cgroup שנטענה:
mount | grep cgroupהפלט אמור להיראות כך:
cgroup on /sys/fs/cgroup type cgroup2 (rw,nosuid,nodev,noexec,relatime)בפלט הזה,
rwמציין שיש הרשאת כתיבה למערכת הקבצים. אם הפלט כולל את הערךro, מערכת הקבצים היא לקריאה בלבד.