什么是 k8s 的 Taints（污点） 和 Tolerations（容忍度）

在 Kubernetes（K8s）中，Taints（污点）和 Tolerations（容忍度）用于影响 Pod 调度到节点的行为，它们一起帮助实现更精细的资源管理和隔离。

Taints（污点）

• 作用：Taints 是节点级的约束，它们允许一个节点拒绝特定的 Pod 运行，除非该 Pod 具有相应的容忍度。

• 使用方式：可以通过 kubectl taint 命令给节点添加 taint，例如：

  kubectl taint nodes node1 key=value:NoSchedule
  

  这意味着 除非 Pod 有相应的容忍度，否则不会调度到 node1。

• Taint 影响调度的三种方式：

  • NoSchedule：不允许 Pod 被调度到该节点。

  • PreferNoSchedule：尽量避免调度，但仍可能调度。

  • NoExecute：如果 Pod 没有匹配的 toleration，会被驱逐。

Tolerations（容忍度）

• 作用：Tolerations 允许 Pod 忽略某些 Taints，从而可以调度到有这些 Taints 的节点。

• 定义方式：在 Pod 的 spec 部分指定 toleration，例如：

  apiVersion: v1
  kind: Pod
  metadata:
    name: example-pod
  spec:
    tolerations:
      - key: "key"
        operator: "Equal"
        value: "value"
        effect: "NoSchedule"
  

  这表示该 Pod 允许被调度到带有 key=value:NoSchedule 的节点。

应用场景

• 隔离工作负载：确保特定工作负载仅运行在特定节点上，比如 GPU 计算节点或高性能存储节点。

• 节点维护：在节点维护时使用 NoExecute 驱逐 Pod，避免 Pod 继续运行在该节点上。

• 高可用性管理：结合 PreferNoSchedule 让 Kubernetes 尽量避免将 Pod 调度到某些节点，但在必要时仍可调度。

它们一起提供了灵活的调度策略，让 Kubernetes 能够更智能地管理 Pod 与节点的关系。

为什么 Taints 和 Tolerations 在 Kubernetes 中如此重要？

1. 精细化调度控制

• Kubernetes 的默认调度器会尝试在所有可用节点之间均衡地分配 Pod。然而，在某些情况下，你希望某些 Pod 只能运行在特定的节点上，而不允许其他 Pod 被调度到这些节点。

• Taints 允许你向节点添加约束，而 Tolerations 使特定 Pod 能够忽略这些约束，实现定向调度。

2. 资源优化与隔离

• 在 Kubernetes 集群中，不同类型的应用可能有不同的资源需求，例如：

  • 计算密集型应用需要运行在 GPU 节点上。

  • 数据库服务希望运行在高 IOPS 存储节点上。

  • 普通应用可以运行在常规节点上。

• 通过 Taints 和 Tolerations，你可以确保不同的工作负载被正确调度到适合的硬件资源上，避免资源竞争和不必要的性能损耗。

3. 保障关键应用的稳定性

• 关键业务应用需要高可靠性和稳定性，而不希望受到其他应用影响。例如：

  • 生产环境的 Pod 不应该和测试环境的 Pod 运行在同一节点。

  • Kubernetes 可能会调度低优先级任务到关键节点，占用资源，从而影响关键任务的运行。

• 通过 Taints，可以确保关键节点只允许运行特定类型的 Pod，从而避免不必要的干扰。

4. 故障容忍与节点维护

• 在维护节点时，你可能希望驱逐所有 Pod，使该节点可以进行系统更新或硬件更换。

• 通过 NoExecute 类型的 Taints，可以自动驱逐未容忍该 taint 的 Pod，确保维护操作不会影响应用运行。

• 另外，Kubernetes 也可以使用 Taints 来标记健康状况异常的节点，防止新 Pod 调度到有故障的节点上，提高集群的可靠性。

5. 软约束与调度倾向

• PreferNoSchedule 类型的 Taints 允许 Kubernetes 尽量避免将 Pod 调度到某个节点，但在资源紧张时仍然可以调度。

• 这在高可用架构中非常重要，比如：

  • 你有一个备用数据中心，只在主数据中心资源耗尽时才使用它。

  • 你希望某些节点优先运行生产工作负载，但在压力过大时也允许其他 Pod 运行。

Taints 和 Tolerations 的实际应用示例 

关键服务节点隔离

场景：公司有一个专门运行数据库的高性能节点，不希望普通应用程序调度到该节点，以免影响数据库的资源使用。

实现方式：

• 给数据库节点添加 taint：

  kubectl taint nodes db-node dedicated=db:NoSchedule
  

• 让数据库 Pod 具有相应的 toleration：

  spec:
    tolerations:
      - key: "dedicated"
        operator: "Equal"
        value: "db"
        effect: "NoSchedule"
  

这样，只有明确拥有 toleration 的数据库 Pod 能运行在该节点上，而其他普通应用不会调度到此节点。

GPU 计算任务专用节点

场景：数据科学团队需要使用 GPU 计算资源，但希望限制 GPU 节点的使用范围，只允许机器学习任务在上面运行。

实现方式：

• 给 GPU 节点添加 taint：

  kubectl taint nodes gpu-node accelerator=gpu:NoSchedule
  

• 让 ML 工作负载的 Pod 具有 toleration：

  spec:
    tolerations:
      - key: "accelerator"
        operator: "Equal"
        value: "gpu"
        effect: "NoSchedule"
  

这样，只有 ML 任务能够调度到 GPU 节点，而普通应用程序不会占用 GPU 资源。

灾难恢复策略

场景：有一个备用数据中心节点，只在主数据中心故障时使用，因此希望 Kubernetes 尽量避免调度 Pod 到该节点，但仍允许在必要时运行。

实现方式：

• 给备用节点添加 taint：

  kubectl taint nodes backup-node location=backup:PreferNoSchedule
  

• 允许 Pod 运行在该节点（如果需要）：

  spec:
    tolerations:
      - key: "location"
        operator: "Equal"
        value: "backup"
        effect: "PreferNoSchedule"
  

这样，Kubernetes 尽量不会调度 Pod 到 backup-node，但在资源紧张或主数据中心故障时，可以运行 Pod。

临时维护节点

场景：某个节点需要进行系统维护，希望临时驱逐所有正在运行的 Pod，以便维护完成后重新调度。

实现方式：

• 给节点添加 NoExecute 类型的 taint：

  kubectl taint nodes maintenance-node maintenance=true:NoExecute
  

• 仅允许短时任务 Pod 保留（其他会被驱逐）：

  spec:
    tolerations:
      - key: "maintenance"
        operator: "Equal"
        value: "true"
        effect: "NoExecute"
        tolerationSeconds: 3600  # 允许 Pod 存活 1 小时
  

这样，所有没有 toleration 的 Pod 都会被立即驱逐，而带 tolerationSeconds 的 Pod 能在维护节点上存活一段时间后再被删除。

这些 Taints 和 Tolerations 可以让 Kubernetes 更高效地管理资源、优化 Pod 调度，同时确保服务可靠性和安全性。

 Powered by Moshow@https://zhengkai.blog.csdn.net/