Serviceeinschränkungen
IBM Cloud® Kubernetes Service und das Kubernetes-Open-Source-Projekt werden mit Standardeinstellungen und Standardeinschränkungen für Services bereitgestellt, um die Sicherheit, den Komfort und die Basisfunktionalität zu gewährleisten. Einige Einschränkungen können Sie möglicherweise ändern, wo dies vermerkt ist.
Wenn Sie absehen können, dass eine der folgenden Einschränkungen für IBM Cloud Kubernetes Service erreicht wird, wenden Sie sich an den IBM Support und geben Sie die Cluster-ID, den neuen Grenzwert für das Kontingent, die Region und den Infrastrukturprovider in Ihrem Support-Ticket an.
Service- und Kontingenteinschränkungen
Für IBM Cloud Kubernetes Service gelten die folgenden Serviceeinschränkungen und Kontingente, die sich auf alle Cluster beziehen, unabhängig davon, welchen Infrastrukturprovider Sie vorhaben zu verwenden. Vergessen Sie dabei nicht, dass auch die Einschränkungen für klassische Cluster und VPC-Cluster zu berücksichtigen sind.
Wenn Sie Grenzwerte der Kontingente für clusterbezogene Ressourcen in Ihrem IBM Cloud-Konto anzeigen möchten, verwenden Sie den Befehl ibmcloud ks quota ls.
| Kategorie | Beschreibung |
|---|---|
| Begrenzungen bei der API-Rate | 200 Anforderungen in jeweils 10 Sekunden an die IBM Cloud Kubernetes Service-API von jeder eindeutigen Quellen-IP-Adresse. |
| App-Bereitstellung | Die Apps, die Sie in Ihrem Cluster bereitstellen, und die Services, die Sie in Ihren Cluster integrieren, müssen unter dem Betriebssystem der Workerknoten ausgeführt werden können. |
| Calico-Netz-Plug-in | Das Ändern des Calico-Plug-ins, der Komponenten oder der Calico-Standardeinstellungen wird nicht unterstützt. Implementieren Sie beispielsweise keine neue Calico-Plug-in-Version oder die Dämongruppen oder Implementierungen für die Calico-Komponenten,
Standardressourcen IPPool oder Calico-Knoten ändern. Stattdessen können Sie die Anweisungen in der Dokumentation zum Erstellen einer Netzrichtlinie (NetworkPolicy) oder einer globalen Netzrichtlinie (GlobalNetworkPolicy)
für Calico befolgen, um die Calico-MTU zu ändern oder das Plug-in für die Portzuordnung für die Calico-CNI zu inaktivieren. |
| Clusterkontingent | Sie dürfen 100 Cluster pro Region und pro Infrastrukturprovider nicht überschreiten. Ab dem 01. Januar 2024 werden die Quoten jedoch schrittweise erhöht,
bevor sie 100 erreichen. Wenden Sie sich an den IBM Support, falls Sie mehr von der Ressource benötigen. Geben Sie im Supportfall die neue Kontingentgrenze für die gewünschte Region
und den gewünschten Infrastrukturanbieter an. Führen Sie ibmcloud quota ls aus, um Kontingente aufzulisten. |
| Kubernetes | Informieren Sie sich über die Projektbeschränkungen unter Kubernetes. |
| KMS-Provider | Die Anpassung der IP-Adressen, die eine Verbindung zu Ihrer Instanz von IBM® Key Protect for IBM Cloud® herstellen dürfen, wird nicht unterstützt. |
| Kubernetes-Podprotokolle | Zum Überprüfen der Protokolle für einzelne App-Pods können Sie die Befehlszeile verwenden, um kubectl logs <pod name> auszuführen. Verwenden Sie das Kubernetes-Dashboard nicht, um Protokolle für Ihre Pods zu streamen,
da dies Ihren Zugriff auf das Kubernetes-Dashboard beeinträchtigen könnte. |
| Lastausgleichsfunktionen | Obwohl das Kubernetes SCTP-Protokoll im Release der Kubernetes-Community allgemein verfügbar ist, wird die Erstellung von Lastausgleichsfunktionen, die dieses Protokoll verwenden, in IBM Cloud Kubernetes Service-Clustern nicht unterstützt. |
| Betriebssystem | Workerknoten müssen eines der unterstützten Betriebssysteme ausführen. Sie können keinen Cluster mit Workerknoten erstellen, auf denen verschiedene Betriebssystemtypen ausgeführt werden. Weitere Informationen finden Sie unter Kubernetes-Versionsinformationen. |
| Podinstanzen | Sie können 110 Pods pro Workerknoten ausführen. Bei Workerknoten, die mit 11 CPU-Kernen oder mehr bereitgestellt sind, können 10 Pods pro Kern bis zu einem Limit von insgesamt 250 Pods pro Workerknoten unterstützt werden. Die Anzahl der
Pods schließt kube-system- und ibm-system-Pods ein, die auf dem Workerknoten ausgeführt werden. Zur Leistungsverbesserung sollten Sie die Anzahl der Pods, die Sie pro Rechenkern ausführen, begrenzen, damit Sie
den Workerknoten nicht übermäßig gebrauchen. Auf einem Workerknoten des Typs b3c.4x16 beispielsweise können Sie 10 Pods pro Kern ausführen, die maximal 75 % der Gesamtkapazität des Workerknotens verwenden. |
| Workerknotenquote | Maximal 500 Arbeitsknoten für alle Konten, die vor dem 01. Januar 2024 eingerichtet werden. Für Konten, die an oder nach diesem Datum eingerichtet werden, beträgt die maximale Quote 200, nachdem die Quoten in der Vergangenheit niedriger
waren. Kontingente gelten pro Cluster Infrastrukturprovider. Wenden Sie sich an den IBM Support,
falls Sie mehr von der Ressource benötigen. Geben Sie im Supportfall die neue Kontingentgrenze für die gewünschte Region und den gewünschten Infrastrukturanbieter an. Zur Auflistung der ausgeführten Kontingente: ibmcloud ks quota ls. |
| Größe des Workerpools | Sie müssen immer mindestens 1 Knoten in Ihrem Cluster haben. Aufgrund der Kontingentbegrenzung bei Workerknoten gelten Einschränkungen hinsichtlich der Anzahl der Worker-Pools pro Cluster und der Anzahl von Workerknoten pro Worker-Pool. Beispielsweise könnten Sie mit den Standardkontingent von 500 Workerknoten pro Region bis zu 500 Worker-Pools mit jeweils 1 Workerknoten in jeweils einer Region mit nur einem Cluster haben. Sie könnten aber auch über einen 1 Worker-Pool mit bis zu 500 Workerknoten in einer Region mit nur 1 Cluster verfügen. |
| Red Hat Enterprise Linux CoreOS-Workerknoten | Einem Cluster werden maximal 15 Zonen hinzugefügt. Beispiel: 4 RHCOS-Worker-Pools mit jeweils 3 Zonen berücksichtigen 12/15 des Kontingents für diesen Cluster. |
| Anzahl der Workerknoten | Cluster können bis zu 500 Arbeitsknoten umfassen. |
| Red Hat Enterprise Linux CoreOS-Workerknoten | Einem Cluster werden maximal 15 Zonen hinzugefügt. Beispiel: 4 RHCOS-Worker-Pools mit jeweils 3 Zonen berücksichtigen 12/15 des Kontingents für diesen Cluster. |
| Clusterbenennung | Um sicherzustellen, dass die Ingress-Unterdomäne und das Zertifikat ordnungsgemäß registriert werden, müssen die ersten 24 Zeichen der Clusternamen unterschiedlich sein. Wenn Sie innerhalb von 7 Tagen 5 Mal oder öfter Cluster mit demselben Namen oder Namen mit denselben ersten 24 Zeichen erstellen und löschen, z. B. zu Automatisierungs- oder Testzwecken, erreichen Sie möglicherweise die Let's Encrypt-Ratenbegrenzung für doppelte Zertifikate. |
| Ressourcengruppen | Ein Cluster kann in nur einer Ressourcengruppe erstellt werden; eine Änderung ist danach nicht mehr möglich. Wenn Sie einen Cluster in der falschen Ressourcengruppe erstellen, müssen Sie den Cluster löschen und in der richtigen Ressourcengruppe
erneut erstellen. Wenn Sie den Befehl ibmcloud ks cluster service bind verwenden müssen, um eine Integration mit einem IBM Cloud-Service durchzuführen,
muss sich dieser Service in derselben Ressourcengruppe befinden wie der Cluster. Dienste, die keine Ressourcengruppen verwenden, wie IBM Cloud Container Registry, oder die keine Dienstbindung benötigen, wie IBM Cloud Logs, funktionieren
auch dann, wenn sich der Cluster in einer anderen Ressourcengruppe befindet. |
Einschränkungen für klassische Cluster
Cluster der klassischen Infrastruktur in IBM Cloud Kubernetes Service werden mit den folgenden Einschränkungen zur Verfügung gestellt.
Rechenressourcen
Beachten Sie, dass auch die Serviceeinschränkungen angewendet werden.
| Kategorie | Beschreibung |
|---|---|
| Reservierte Instanzen | Reservierte Kapazität und reservierte Instanzen werden nicht unterstützt. |
| Workerknotentypen | Worker Nodes sind in ausgewählten Varianten von Rechenressourcen verfügbar. |
| Zugriff auf Workerknotenhost | Aus Sicherheitsgründen können Sie keine SSH-Verbindung zum Rechenhost des Workerknotens herstellen. |
Netzbetrieb
Beachten Sie, dass auch die Serviceeinschränkungen angewendet werden.
| Kategorie | Beschreibung |
|---|---|
| Ingress-ALBs |
-Der Ingress Application Load Balancer (ALB) kann 32.768 Verbindungen pro Sekunde verarbeiten. Wenn Ihr Ingress-Verkehr diese Zahl überschreitet, erhöhen Sie die Anzahl der ALB-Replikate in Ihrem Cluster, um die erhöhte Arbeitslast zu bewältigen.
|
| Über Istio verwaltetes Add-on | Lesen Sie die Informationen unter Einschränkungen für Istio-Add-on. |
| Netzlastausgleichsfunktionen (NLB) |
|
| strongSwan-VPN-Service | Weitere Informationen finden Sie unter Überlegungen zum strongSwan-VPN-Service. |
| Service-IP-Adressen | Sie können 65.000 IP-Adressen pro Cluster im 172.21.0.0/16-Bereich haben, die Sie Kubernetes-Services im Cluster zuordnen können. |
| Teilnetze pro VLAN | Für jedes VLAN gilt eine Begrenzung auf 40 Teilnetze. |
Speicher
Beachten Sie, dass auch die Serviceeinschränkungen angewendet werden.
| Kategorie | Beschreibung |
|---|---|
| Datenträgerinstanzen | Sie können insgesamt 250 IBM Cloud-Infrastrukturdatei- und Blockspeicherdatenträger pro Konto haben. Wenn Sie mehr als diese Menge mounten, wird möglicherweise eine Meldung out of capacity angezeigt, wenn Sie persistente
Volumes bereitstellen. Weitere häufig gestellte Fragen finden Sie in der Datei- und Blockspeicherdokumentation.
Wenn Sie weitere Datenträger bereitstellen wollen, wenden Sie sich an den IBM Support. Schließen Sie in Ihr Support-Ticket Ihre Konto-ID und das gewünschte neue Kontingent für
die Dateispeicherdatenträger bzw. die Blockspeicherdatenträger ein. |
| Portworx | Informieren Sie sich über die Einschränkungen für Portworx. |
Benutzerzugriff
Beachten Sie, dass auch die Serviceeinschränkungen angewendet werden.
| Kategorie | Beschreibung |
|---|---|
| Zugriff über IP-Adresse | Die Beschränkung des Zugriffs auf bestimmte Benutzer durch die Aktivierung des Zugriffs über die IP-Adresse wird von IBM Cloud Kubernetes Service nicht unterstützt. Wenn Sie den Benutzerzugriff einschränken oder einschränken möchten, auf welche Dienste und VPCs ein Benutzer zugreifen kann, sollten Sie eine kontextbasierte Einschränkung in Betracht ziehen. |
Einschränkungen für VPC-Cluster
VPC-Cluster in IBM Cloud Kubernetes Service werden mit den folgenden Einschränkungen freigegeben. Zusätzlich gelten alle zugrunde liegenden VPC-Kontingente, VPC-Grenzwerte, VPC-Servicebeschränkungen und Einschränkungen des regulären Service.
Rechenressourcen
Beachten Sie, dass auch die Serviceeinschränkungen angewendet werden.
| Kategorie | Beschreibung |
|---|---|
| Verschlüsselung | Die sekundären Platten Ihrer Workerknoten werden im Ruhezustand standardmäßig durch den Provider der zugrunde liegenden VPC-Infrastruktur verschlüsselt. Sie können jedoch nicht Ihre eigene Verschlüsselung für die zugrunde liegenden virtuellen Serverinstanzen verwenden. |
| Standort | VPC-Cluster sind nur in ausgewählten Multizonenregionen verfügbar. |
| Virtual Private Cloud | Weitere Informationen finden Sie unter Einschränkungen und Kontingente. |
| Workerknotentypen | Für virtuelle Workerknotenmaschinen sind nur bestimmte Typen verfügbar. Bare-Metal-Maschinen werden nicht unterstützt. |
| Zugriff auf Workerknotenhost | Aus Sicherheitsgründen können Sie keine SSH-Verbindung zum Rechenhost des Workerknotens herstellen. |
| Workerknotenaktualisierungen | Sie können die VPC-Arbeitsknoten nicht aktualisieren oder neu laden. Stattdessen können Sie einen Workerknoten löschen und den Worker-Pool mit dem Befehl ibmcloud ks worker replace neu ausgleichen. Wenn Sie mehrere Workerknoten
gleichzeitig ersetzen, werden diese gleichzeitig (und nicht nacheinander) gelöscht und ersetzt. Stellen Sie sicher, dass Sie in Ihrem Cluster über ausreichend Kapazität verfügen, um Ihre Workloads neu planen zu können, bevor Sie die
Workerknoten ersetzen. |
Netzbetrieb
Beachten Sie, dass auch die Serviceeinschränkungen angewendet werden.
| Kategorie | Beschreibung |
|---|---|
| Länge der App-URL | DNS-Auflösung wird von dem virtuellen privaten Endpunkt (VPE) des Clusters verwaltet, der URLs bis zu 130 Zeichen auflösen kann. Wenn Sie Apps in Ihrem Cluster mithilfe von URLs bereitstellen, z. B. die Ingress-Unterdomäne, stellen Sie sicher, dass die URLs maximal 130 Zeichen umfassen. |
| Über Istio verwaltetes Add-on | Lesen Sie die Informationen unter Einschränkungen für Istio-Add-on. |
| Netzgeschwindigkeiten | Die Netzgeschwindigkeiten im VPC-Profil sind die Geschwindigkeiten der Workerknotenschnittstellen. Die für VPC-Instanzen verfügbare Bandbreite wird zwischen Speicher- und Netzwerkverkehr aufgeteilt. Standardmäßig beträgt die Speicherzuweisung 25 % der maximalen Bandbreite. Die in den nachstehenden Tabellen angegebene Netzwerkgeschwindigkeit ist die Netzwerkbandbreite, die einem Mitarbeiter mit einer einzelnen Netzwerkschnittstelle nach Abzug der standardmäßigen Zuweisung von 25 % Speicherbandbreite zur Verfügung steht. |
| NodePort | Der Zugriff auf eine App über einen Knotenport (NodePort) ist nur möglich, wenn Sie mit Ihrem privaten VPC-Netz verbunden sind (z. B. durch eine VPN-Verbindung). Für den Zugriff auf eine App über das Internet müssen Sie stattdessen eine VPC-Lastausgleichsfunktion oder einen Ingress-Service verwenden. |
| Pod-Netz | VPC-Zugriffssteuerungslisten (ACLs) filtern den ein- und den ausgehenden Datenverkehr für Ihren Cluster auf Teilnetzebene und Sicherheitsgruppen filtern den eingehenden und abgehenden Datenverkehr für Ihren Cluster auf der Ebene der Workerknoten. Um den Datenverkehr im Cluster auf der Pod-zu-Pod-Ebene zu steuern, können Sie keine VPC-Sicherheitsgruppen oder ACLs verwenden. Verwenden Sie stattdessen Calico- und Kubernetes-Netzrichtlinien, die den Netzdatenverkehr auf Poebene mit Kapselung der IP-Adressen steuern können. |
| strongSwan-VPN-Service | Der strongSwan-Service wird nicht unterstützt. Wie Sie Ihren Cluster mit Ressourcen in einem lokalen Netz oder in einer anderen VPC-Instanz verbinden, erfahren Sie in VPN mit Ihrer VPC verwenden. |
| Teilnetze |
|
| VPC-Lastausgleichsfunktion | Weitere Informationen finden Sie unter Einschränkungen für VPC-Lastausgleichsfunktionen. |
Speicher
Beachten Sie, dass auch die Serviceeinschränkungen angewendet werden.
| Kategorie | Beschreibung |
|---|---|
| Cluster-Add-on Block Storage for VPC | Das Cluster-Add-on Block Storage for VPC ist in VPC-Clustern standardmäßig aktiviert. Das Add-on wird jedoch derzeit für Cluster mit UBUNTU_18_S390X-Workerknoten nicht unterstützt. Wenn Sie einen VPC-Cluster mit UBUNTU_18_S390X-Workerknoten
erstellen, verbleiben die Add-on-Pods im Status Pending. Sie können das Add-on mit dem Befehl ibmcloud ks cluster addon disable inaktivieren. |
| Speicherklasse für Profilgrößen | Weitere Informationen finden Sie unter Verfügbare Datenträgerprofile. |
| Unterstützte Typen |
Sie können nur Block Storage for VPC, IBM Cloud Object Storage und Cloud Databases einrichten.
|
| Datenträgerzuordnungen | Siehe Grenzwerte für Datenträgerzuordnungen. |
| Portworx | Informieren Sie sich über die Einschränkungen für Portworx. |
| Block Storage for VPC | Die Standardspeicherklasse in VPC-Clustern kann nicht geändert werden. Sie können jedoch Ihre eigene Speicherklasse erstellen. |
Benutzerzugriff
Beachten Sie, dass auch die Serviceeinschränkungen angewendet werden.
| Kategorie | Beschreibung |
|---|---|
| Zugriff über IP-Adresse | Die Beschränkung des Zugriffs auf bestimmte Benutzer durch die Aktivierung des Zugriffs über die IP-Adresse wird von IBM Cloud Kubernetes Service nicht unterstützt. Wenn Sie den Benutzerzugriff einschränken oder einschränken möchten, auf welche Dienste und VPCs ein Benutzer zugreifen kann, sollten Sie eine kontextbasierte Einschränkung in Betracht ziehen. |