openshift的新手,所以我有点困惑我们是否可以在master或infra节点上运行用户pod。我们有2个工作节点和一个主节点和基础节点,每个节点构成4个节点。更改的原因是在所有4个节点而不是2个计算节点之间共享负载。
通过阅读一些文档,似乎可以为一个节点分配两个角色,但是否存在安全风险,或者这不是最佳做法?
在openshift版本v3.11.0+d699176-406 上运行
如果我们可以在主节点或基础节点上运行用户pod
是的,您绝对可以,最简单的方法是在安装时进行配置,请参阅https://docs.openshift.com/container-platform/3.11/install/example_inventories.html#multi-使用本地ha-ai的大师,例如
是否存在任何安全风险,或者这不是的最佳实践
运行单个主节点或单个基础节点已经对集群的高可用性构成风险。如果master失败——你的集群基本上是无头的,如果infra节点失败——你就会失去内部注册表和路由器——从而失去外部访问权限或为你的图像流创建新图像的能力。这也适用于主机操作系统升级,总有一天你必须重新启动主节点和基础节点,你能保证在打补丁期间停机吗?如果更新过程中出现问题怎么办?
关于在主节点和基础节点上运行用户工作负载,如果您没有运行特权SCC(可以允许运行特权pod或在系统上使用任何uid等(,假设您使用的容器引擎中没有已知的错误,那么您在一定程度上不会受到容器破坏。但是,您应该密切关注资源消耗,避免在没有CPU和内存限制的情况下运行任何工作负载,因为主节点过载可能会导致集群降级。您还应该监控磁盘使用情况,因为运行用户pod会导致更多的图像加载到docker存储中。
所以基本上可以归结为:
对于这两个角色,最好有多个主节点(最好是3个(和几个基础节点,而不是一个故障点。拥有单独的主节点和工作节点当然比将它们托管在一起要好,但如果您仔细观察资源使用情况,即使有用户工作负载,多主机设置也应该更有弹性。