運營和管理→執行策略和運行時限制
執行策略和運行時限制
1)任命
Runtime策略使服務行為可預測,安全且經濟:限制「嘈雜的鄰居」,防止泄漏和過熱,在負載增加時提供SLO的合規性和保留性。
關鍵目標:隔離,公平分配資源,受控退化,可重復性,審計。
2)覆蓋範圍
計算和內存:CPU,RAM,GC暫停,線程限制。
驅動器/存儲:IOPS/throughput,配額,fs策略(只讀)。
Сеть: egress/ingress, bandwidth shaping, network policies.
進程/系統調用: seccomp, capabilities, ulimit.
編排:Kubernetes QoS,requests/limits,優先級,taints/affinity。
API/網關: rate-limits,配額,taymouts/retrais,電路斷路器。
數據/ETL/流: batch/stream concurrency, consumer lag budgets。
安全性:AppArmor/SELinux, rootless,秘密/咖啡機。
Policy-as-Code: OPA/Gatekeeper, Kyverno, Conftest.
3)基本原則
缺省失敗安全:丟棄多余的請求比丟棄請求更好。
Budget-driven: taymouts/retrai符合請求時間預算和SLO錯誤預算。
Small blast radius:隔離在namespace/pool/notle/shard上。
Declarative&auditable:所有限制都在代碼/存儲庫+更改日誌中。
Multi-tenant fairness:沒有租戶/團隊可以「吸入」整個集群。
4)計算和內存
4.1 Kubernetes и cgroup v2
要求/限制:要求保證CPU/內存份額;極限包括throttling/OOM殺手。
QoS類:Guaranteed/Burstable/BestEffort-關鍵的worcloads保持在Guaranteed/Burstable中。
CPU: `cpu.shares`, `cpu.max' (throttle), CPuset用於固定。
內存:"內存。max`, `memory.swap.max'(通常是掉期),oom_score_adj優先級。
4.2種模式
Headroom在節點上為20-30%,用於復制。
GC限制: JVM '-Xmx' <8s內存限制;Go: `GOMEMLIMIT`;Node: `--max-old-space-size`.
ulimit: 「nofile」、「nproc」、「fsize」-在服務配置文件中。
5)磁盤和存儲
IOPS/Throughput PVC/群集存儲配額;日誌/數據分離。
僅讀取根FS,tmpfs用於臨時文件,大小限制「/tmp」。
FS-watchdog:填充卷和inode生長的差異。
6)網絡和流量
NetworkPolicy (ingress/egress) — zero-trust east-west.
Bandwidth極限:tc/egress-policies,QoS/DSCP用於關鍵線程。
Egress控制器:允許的域/子網列表,DNS審核。
mTLS+TLS政策:加密和協議強制版本。
7)流程安全
Seccomp (allowlist syscalls)、AppArmor/SELinux配置文件。
Drop Linux capabilities(保留最低限度),「runAsNonRoot」,「readOnlyRootFilesystem」。
Rootless容器,簽名的圖像和態度。
僅通過Vault/KMS進行秘密,tmp-tokens具有短TTL。
8)時間政策: taymauts,retrai,預算
時間預算:所有流行歌曲的總和≤ SLA和tu-end。
帶有backoff+Jitter的轉發,按錯誤類別最多嘗試一次。
電路斷路器:在高於閾值的error%/timeout p95上打開→快速故障。
Bulkheads:關鍵路徑的單獨連接池/隊列。
Backpressure:通過大量消費者限制生產者。
9)限額、配額和優先級
算法:token/leaky bucket,GCRA;本地+分布式(Redis/Envoy/global)。
粒度:API鍵/用戶/組織/區域/端點。
優先級梯度:「支付/授權」流-黃金,分析-青銅。
每天/月配額,「burst」和「sustained」限制;429 + Retry-After.
10)編排和規劃師
PriorityClass:保護P1腳踏板免於置換。
PodDisruptionBudget:更新時的市區邊界。
Taints/Tolerations, (anti) Affinity-工作負載隔離。
RuntimeClass: gVisor/Firecracker/Wasm用於沙盒。
Horizontal/垂直自動緩解,帶有gward閾值和max-replicas。
11) 數據策略/ETL/流
Concurrency per job/topic, max batch size, checkpoint間隔。
Consumer lag budgets: warning/critical;DLQ和轉發限制。
Freshness SLA用於店面,在散裝交通高峰時暫停沈重的喬布斯。
12) Policy-as-Code和管理控制
OPA Gatekeeper/Kyverno:禁止在沒有「readOnlyRootFilesystem」的情況下使用「hostNetwork」,「:最新」。
用於預發布Helm/K8s/Terraform檢查的Conftest。
Mutation policies:自動收取sidecar (mTLS)、註釋、seccompProfile。
yaml apiVersion: kyverno. io/v1 kind: ClusterPolicy metadata:
name: require-resources spec:
validationFailureAction: Enforce rules:
- name: check-limits match:
resources:
kinds: ["Pod"]
validate:
message: "We need resources. requests/limits for CPU and memory"
pattern:
spec:
containers:
- resources:
requests:
cpu: "?"
memory: "?"
limits:
cpu: "?"
memory: "?"rego package policy. timeout
deny[msg] {
input. kind == "ServiceConfig"
input. timeout_ms> 800 msg: = sprintf ("timeout% dms exceeds budget 800ms," [input. timeout_ms])
}13)可觀察性和合規性指標
Compliance%:具有正確請求/限制/標簽的pod的比例。
Security Posture: seccomp/AppArmor/rootless的份額。
Rate-limit hit%, shed%, throttle%, 429 share.
p95 taymauts/retrais,巡回開放時間。
OOM kills/evictions, CPU throttle seconds.
Network egress denied events, egress allowlist misses.
14)支票單
在發布服務之前
- requests/limits;QoS ≥ Burstable
- Taymauts和retrai適合端到端SLA
- Circuit-breaker/bulkhead包含在外部依賴項中
[] NetworkPolicy (ingress/egress) и mTLS[] Seccomp/AppArmor, drop capabilities, non-root, read-only FS- Rate-limits和API網關/服務配額
- PDB/priority/affinity設置;autoscaling配置為
每月一次
- 策略異常審計(TTL)
- 修訂時間/錯誤預算
- 退化測試(fire-drill): shed/backpressure/circuit-breaker
- 保密/證書輪換
15)反模式
沒有requests/limits:「burst」吃鄰居→級聯故障。
沒有擠壓的全球撤退:成癮的風暴。
無限的taymauts:「懸掛」的連接和池的耗盡。
':latest'和mutable標簽:不可預測的運行時構建。
Open egress:泄漏和無管理的依賴。
缺少PDB:更新將「淘汰」整個池。
16)迷你花花公子
A. payments-Service的CPU throttle%激增
1.檢查limits/requests並分析熱路。
2.暫時提出要求,在p95 latency上打開自動標記。
3.啟用限制/課程的緩存後退,降低查詢的復雜性。
4.後小說:非規範化/索引,極限修訂。
B.增長429和API投訴
1.按鍵/組織報告→誰在配額中落後。
2.引入hierarchical quotas(per- org→per -key),提高金色的burst。
3.背靠背的溝通和指導;啟用自適應限制。
V.大規模OOM殺手
1.減少串聯,啟用重播限制和分析。
2.將Xmx/GOMEMLIMIT重新計算為真實的峰值。
3.重新培訓GC/池,添加交換和軟限位。
17)配置示例
K8s具有安全設置的容器(片段):yaml securityContext:
runAsNonRoot: true allowPrivilegeEscalation: false readOnlyRootFilesystem: true capabilities:
drop: ["ALL"]yaml rate_limit_policy:
actions:
- request_headers:
header_name: "x-api-key"
descriptor_key: "api_key"yaml nginx. ingress. kubernetes. io/proxy-connect-timeout: "2s"
nginx. ingress. kubernetes. io/proxy-read-timeout: "1s"
nginx. ingress. kubernetes. io/limit-rps: "50"18)與變更和事件管理集成
任何放松政策-通過RFC/CAB和TTL暫時排除。
違反政策的事件→防暴警察和規則更新。
合規行列(compliance)已連接到發布日歷。
19)結果
執行政策是平臺的「欄桿」:它們不會幹擾快速行駛,不會讓跌倒。聲明性限制,自動脅迫,良好的指標和例外紀律將混亂的剝削轉變為可管理和可預測的系統-具有可控的成本和可持續的SLO。