Kubernetes 1.31:PodAffinity 中的 MatchLabelKeys 升级为 beta 版

作者:Kensei Nakada (Tetrate) |

Kubernetes 1.29 在 podAffinitypodAntiAffinity 中引入了新的字段 matchLabelKeysmismatchLabelKeys

在 Kubernetes 1.31 中,此功能进入 beta 阶段,并且相应的特性门控 (MatchLabelKeysInPodAffinity) 默认启用。

matchLabelKeys - 增强了用于灵活滚动更新的调度

在工作负载(例如,Deployment)的滚动更新期间,集群可能同时存在多个版本的 Pod。但是,调度器无法根据 podAffinitypodAntiAffinity 中指定的 labelSelector 来区分旧版本和新版本。因此,无论 Pod 的版本如何,它都会将 Pod 并置或分散。

这可能会导致次优的调度结果,例如

  • 新版本 Pod 与旧版本 Pod 并置(podAffinity),旧版本 Pod 将在滚动更新后最终被删除。
  • 旧版本 Pod 分布在所有可用的拓扑结构中,由于 podAntiAffinity,新版本 Pod 无法找到节点。

matchLabelKeys 是一组 Pod 标签键,用于解决此问题。调度器从新 Pod 的标签中查找这些键的值,并将它们与 labelSelector 结合使用,以便 podAffinity 匹配标签中具有相同键值的 Pod。

通过在 matchLabelKeys 中使用标签 pod-template-hash,你可以确保只有相同版本的 Pod 才会被评估 podAffinitypodAntiAffinity

apiVersion: apps/v1
kind: Deployment
metadata:
  name: application-server
...
  affinity:
    podAffinity:
      requiredDuringSchedulingIgnoredDuringExecution:
      - labelSelector:
          matchExpressions:
          - key: app
            operator: In
            values:
            - database
        topologyKey: topology.kubernetes.io/zone
        matchLabelKeys:
        - pod-template-hash

上述 matchLabelKeys 将在 Pod 中被转换为类似如下内容

kind: Pod
metadata:
  name: application-server
  labels:
    pod-template-hash: xyz
...
  affinity:
    podAffinity:
      requiredDuringSchedulingIgnoredDuringExecution:
      - labelSelector:
          matchExpressions:
          - key: app
            operator: In
            values:
            - database
          - key: pod-template-hash # Added from matchLabelKeys; Only Pods from the same replicaset will match this affinity.
            operator: In
            values:
            - xyz
        topologyKey: topology.kubernetes.io/zone
        matchLabelKeys:
        - pod-template-hash

mismatchLabelKeys - 服务隔离

mismatchLabelKeys 是一组 Pod 标签键,与 matchLabelKeys 类似,它从新 Pod 的标签中查找这些键的值,并将它们与 labelSelector 合并为 key notin (value),以便 podAffinity *不*匹配标签中具有相同键值的 Pod。

假设每个租户的所有 Pod 都通过控制器或 Helm 等清单管理工具获取 tenant 标签。

虽然在组成每个工作负载的清单时 tenant 标签的值是未知的,但集群管理员希望实现独有的 1:1 租户到域的放置,以实现租户隔离。

mismatchLabelKeys 适用于此用例;通过使用 mutating webhook 全局应用以下亲和性,集群管理员可以确保来自同一租户的 Pod 将独占地落入同一域,这意味着来自其他租户的 Pod 不会落入同一域。

affinity:
  podAffinity:      # ensures the pods of this tenant land on the same node pool
    requiredDuringSchedulingIgnoredDuringExecution:
    - matchLabelKeys:
        - tenant
      topologyKey: node-pool
  podAntiAffinity:  # ensures only Pods from this tenant lands on the same node pool
    requiredDuringSchedulingIgnoredDuringExecution:
    - mismatchLabelKeys:
        - tenant
      labelSelector:
        matchExpressions:
        - key: tenant
          operator: Exists
      topologyKey: node-pool

上述 matchLabelKeysmismatchLabelKeys 将转换为类似如下内容

kind: Pod
metadata:
  name: application-server
  labels:
    tenant: service-a
spec: 
  affinity:
    podAffinity:      # ensures the pods of this tenant land on the same node pool
      requiredDuringSchedulingIgnoredDuringExecution:
      - matchLabelKeys:
          - tenant
        topologyKey: node-pool
        labelSelector:
          matchExpressions:
          - key: tenant
            operator: In
            values:
            - service-a 
    podAntiAffinity:  # ensures only Pods from this tenant lands on the same node pool
      requiredDuringSchedulingIgnoredDuringExecution:
      - mismatchLabelKeys:
          - tenant
        labelSelector:
          matchExpressions:
          - key: tenant
            operator: Exists
          - key: tenant
            operator: NotIn
            values:
            - service-a
        topologyKey: node-pool

参与其中

这些功能由 Kubernetes SIG Scheduling 管理。

请加入我们并分享您的反馈。我们期待您的来信!

如何了解更多信息?