K8s进阶之LimitRange

概述

官方文档：https://kubernetes.io/zh-cn/docs/concepts/policy/limit-range/

在 Kubernetes（K8s）中，LimitRange 是一种用于约束命名空间（Namespace）内资源配额的资源对象，主要作用是为 Pod 和容器设置资源使用的限制范围（如 CPU、内存等）。它可以定义资源的最小值、最大值、默认值以及比例限制，确保容器在合理的资源范围内运行，避免因资源分配不合理导致的集群性能问题或服务不稳定。

作用

• 在一个命名空间中实施对每个 Pod 或 Container 最小和最大的资源使用量的限制。
• 在一个命名空间中实施对每个 PersistentVolumeClaim 能申请的最小和最大的存储空间大小的限制。
• 在一个命名空间中实施对一种资源的申请值和限制值的比值的控制。
• 设置一个命名空间中对计算资源的默认申请/限制值，并且自动的在运行时注入到多个 Container 中。
• 在一个命名空间中，若某一个Pod或Container未设置最小和最大的资源使用量，可以为其设置默认值

配置示例

apiVersion: v1 kind: LimitRange metadata:   name: comprehensive-limit   namespace: dev-team  # 限制的namespace spec:   limits:   # 容器级别限制   - type: Container   # 请求的最小cpu和内存限制，对应request的设置     min:       cpu: "100m"       memory: "256Mi"   # 请求的最大cpu和内存限制，对应的limits的设置     max:       cpu: "2"       memory: "4Gi"     # 默认的request设置，如果Container没有设置request，则默认使用这个值     defaultRequest:       cpu: "500m"       memory: "1Gi"     # 默认的limits设置，如果Container没有设置limit，则默认使用这个值     default:       cpu: "1"       memory: "2Gi"     # 控制request和limits设置的比例，如果request.cpu设置为1，那么limits.cpu不能超过2，         # memory同理     maxLimitRequestRatio:       cpu: "2"       memory: "1.5"      # Pod级别限制   - type: Pod     max:       cpu: "4"        # 整个Pod的CPU总和不得超过4核       memory: "8Gi"   # 整个Pod的内存总和不得超过8GB      # PVC限制   - type: PersistentVolumeClaim     min:       storage: "1Gi"     max:       storage: "20Gi" 

实战案例

创建LimitRange

先创建一个namespace

[root@master ~]# kubectl create namespace sit-team namespace/sit-team created [root@master ~]# kubectl get ns sit-team NAME       STATUS   AGE sit-team   Active   8s 

创建LimitRange，namespace需要选中上一步创建的名称空间

# 定义LimitRange [root@master ~/limits]# cat sit-limits.yaml  apiVersion: v1 kind: LimitRange metadata:   name: sit-team-limits   # 限制的namespace   namespace: sit-team spec:   limits:   # 容器级别限制   - type: Container   # 请求的最小cpu和内存限制，对应request的设置     min:       cpu: "100m"       memory: "256Mi"   # 请求的最大cpu和内存限制，对应的limits的设置     max:       cpu: "1"       memory: "1Gi"     # 默认的request设置，如果Container没有设置request，则默认使用这个值     defaultRequest:       cpu: "500m"       memory: "500Mi"     # 默认的limits设置，如果Container没有设置limit，则默认使用这个值     default:       cpu: "1"       memory: "1Gi"     # 控制request和limits设置的比例，如果request.cpu设置为1，那么limits.cpu不能超过2，         # memory同理     maxLimitRequestRatio:       cpu: "2.5"       memory: "2.5"    # Pod级别限制   - type: Pod     max:       # 整个Pod的CPU总和不得超过4核       cpu: "4"       # 整个Pod的内存总和不得超过8GB       memory: "8Gi"    # PVC限制   - type: PersistentVolumeClaim     # 最小的存储容量     min:       storage: "1Gi"     # 最大的存储容量     max:       storage: "20Gi"  # 创建limits [root@master ~/limits]# kubectl apply -f sit-limits.yaml  limitrange/sit-team-limits created 

查看LimitRange

[root@master ~/limits]# kubectl get limits -n sit-team NAME              CREATED AT sit-team-limits   2025-05-26T03:12:30Z  # 查看详情 [root@master ~/limits]# kubectl describe limits sit-team-limits -n sit-team Name:                  sit-team-limits Namespace:             sit-team Type                   Resource  Min    Max   Default Request  Default Limit  Max Limit/Request Ratio ----                   --------  ---    ---   ---------------  -------------  ----------------------- Container              memory    256Mi  1Gi   500Mi            1Gi            1500m Container              cpu       100m   1     500m             1              2 Pod                    memory    -      8Gi   -                -              - Pod                    cpu       -      4     -                -              - PersistentVolumeClaim  storage   1Gi    20Gi  -                -              - 

创建Pod验证LimitRange

创建一个Pod，不设置request和limits

[root@master ~/limits]# cat pod-1.yaml  apiVersion: v1 kind: Pod metadata:   name: nginx-pod   namespace: sit-team spec:   containers:   - name: nginx-container-1     image: nginx:latest [root@master ~/limits]# kubectl apply -f pod-1.yaml pod/nginx-pod created  # 查看一下详细信息，发现对应的limits和requests和我们配置limitRange的默认值一样 [root@master ~/limits]# kubectl describe po nginx-pod -n sit-team | grep -A 2 -Ei 'limits|requests'     Limits:       cpu:     1       memory:  1Gi     Requests:       cpu:        500m       memory:     500Mi 

创建一个Pod，将limits和requests设置超出limitRange的范围，看看会发生什么

[root@master ~/limits]# cat pod-2.yaml  apiVersion: v1 kind: Pod metadata:   name: nginx-pod-1   namespace: sit-team spec:   containers:   - name: nginx-container     image: nginx:latest     resources:       limits:         cpu: "2"         memory: "2Gi"       requests:         cpu: "1"         memory: "1Gi"  # 创建Pod，发现创建Pod失败了 [root@master ~/limits]# kubectl apply -f pod-2.yaml Error from server (Forbidden): error when creating "pod-2.yaml": pods "nginx-pod-1" is forbidden: [maximum cpu usage per Container is 1, but limit is 2, maximum memory usage per Container is 1Gi, but limit is 2Gi] 

LimitRange使用注意事项

• 一个命名空间中理论上可以存在多个LimitRange，但是当有多个LimitRange时，以哪一个为基准是不确定的。所以我们在一个命名空间中创建一个LimitRange即可

• LimitRange是做的准入检查，在LimitRange创建之前已存在的Pod或容器不受影响

• LimitRange通常和ResourceQuota结合起来使用

学习ResourceQuota可以阅读这篇文章：K8s进阶之多租户场景下的资源配额（ResourceQuota）