服务限制
IBM Cloud® Kubernetes Service 和 Kubernetes 开放式源代码项目随附缺省服务设置和限制,以确保提供基本功能以及安全性和便利性。 您可能可以更改某些限制。
如果您预期达到以下任何 IBM Cloud Kubernetes Service 限制,请 联系 IBM 支持人员,并在支持凭单中提供集群标识,新的配额限制,区域和基础架构提供者。
服务和配额限制
IBM Cloud Kubernetes Service 与您计划使用的基础架构提供商无关,以下服务限制和配额适用于所有群集。 请记住,经典 和 VPC 集群限制也适用。
要查看 IBM Cloud 帐户中与集群相关的资源的配额限制,请使用 ibmcloud ks quota ls 命令。
| 类别 | 描述 |
|---|---|
| API 速率限制 | 每个唯一源 IP 地址每 10 秒向 IBM Cloud Kubernetes Service API 发送 200 次请求。 |
| 应用程序部署 | 您部署到的应用程序以及与集群集成的服务必须能够在工作程序节点的操作系统上运行。 |
| Calico 网络插件 | 不支持更改 Calico 插件,组件或缺省 Calico 设置。 例如,不要部署新的 Calico 插件版本,或者修改 Calico 组件,缺省 IPPool 资源或 Calico 节点的守护程序集或部署。 而是可以遵循文档来 创建 Calico NetworkPolicy 或 GlobalNetworkPolicy,
更改 Calico MTU 或 禁用 Calico CNI 的端口映射插件。 |
| 集群配额 | 每个区域和每个 基础架构提供程序 不能超过 100 个集群。 然而,截至 2024 年 1 月 1 日,配额在达到 100 个之前逐步增加。 如果需要更多资源,请 联系 IBM 支持。
在支持案例中,包含您想要的区域和基础架构提供者的新配额限制。 要列出配额,请运行 ibmcloud quota ls。 |
| Kubernetes | 确保查看 Kubernetes 项目限制。 |
| KMS 提供者 | 不支持定制允许连接到 IBM® Key Protect for IBM Cloud® 实例的 IP 地址。 |
| Kubernetes pod 日志 | 要检查单个应用程序 pod 的日志,可以使用命令行运行 kubectl logs <pod name>。 不要使用 Kubernetes 仪表板来流式传输 pod 的日志,这可能会导致对 Kubernetes 仪表板的访问中断。 |
| 负载均衡器 | 虽然 Kubernetes SCTP 协议 在 Kubernetes 社区发行版中通常可用,但在 IBM Cloud Kubernetes Service 集群中不支持创建使用此协议的负载均衡器。 |
| 操作系统 | 工作程序节点必须运行其中一个受支持的操作系统。 无法创建具有运行不同类型操作系统的工作程序节点的集群。 有关更多信息,请参阅 Kubernetes 版本信息。 |
| Pod 实例 | 每个工作程序节点可以运行 110 个 pod。 如果工作程序节点具有 11 个或更多 CPU 核心,那么可以支持每个核心 10 个 pod,每个工作程序节点最多支持 250 个 pod。 pod 数包括在工作程序节点上运行的 kube-system 和 ibm-system pod。 为了提高性能,可以考虑限制每个计算核心运行 pod 的数量,这样就不会过度使用工作节点。 例如,在使用 b3c.4x16 类型模板的工作程序节点上,可每个核心运行 10 个 pod,这些 pod 使用的容量占工作程序节点总容量的比例不超过 75%。 |
| 工作程序节点配额 | 2024 年 1 月 1 日之前创建的账户最多可拥有 500 个工作节点。 对于在该日期或之后创建的账户,在配额降低一段时间后,最大配额为 200。 配额适用于每个集群 基础架构提供者。 如果需要更多资源,请 联系 IBM 支持。
在支持案例中,包含您想要的区域和基础架构提供者的新配额限制。 要列出运行的配额,ibmcloud ks quota ls。 |
| 工作程序池大小 | 集群中必须始终至少有 1 个节点。 由于工作程序节点配额,因此每个集群的工作程序池数和每个工作程序池的工作程序节点数都受到限制。 例如,如果每个区域的默认工作者节点配额为 500 个,那么在只有 1 个群集的区域中,您可能拥有多达 500 个工作者池,每个池有 1 个工作者节点。 或者,您可能在仅具有 1 集群的区域中具有最多 500 个工作程序节点的 1 工作程序池。 |
| Red Hat Enterprise Linux CoreOS 工作程序节点 | 添加到集群的最大区域数为 15。 例如,具有 3 个专区的 4 RHCOS 工作程序池将占该集群的配额的 12/15。 |
| 工作程序节点数量 | 集群最多可有 500 个工作节点。 |
| Red Hat Enterprise Linux CoreOS 工作程序节点 | 添加到集群的最大区域数为 15。 例如,具有 3 个专区的 4 RHCOS 工作程序池将占该集群的配额的 12/15。 |
| 集群命名 | 要确保正确注册 Ingress 子域和证书,集群名称的前 24 个字符必须不同。 如果在 7 天内创建和删除具有相同名称的集群,这些集群的前 24 个字符 5 次或更多次 (例如,出于自动化或测试目的),那么您可能会达到 Let 's Encrypt 复制证书速率限制。 |
| 资源组 | 只能在一个资源组中创建集群,并且在此之后无法更改资源组。 如果在错误的资源组中创建了集群,那么必须删除该集群,然后在正确的资源组中重新创建该集群。 此外,如果需要使用 ibmcloud ks cluster service bind 命令 与 IBM Cloud 服务集成,则该服务必须与群集位于同一资源组中。
不使用资源组(如 IBM Cloud Container Registry )或不需要服务绑定(如 IBM Cloud Logs )的服务,即使群集位于不同的资源组中,也能正常工作。 |
经典集群限制
IBM Cloud Kubernetes Service 中的经典基础架构集群发布后存在以下限制。
计算
请记住,服务 限制也适用。
| 类别 | 描述 |
|---|---|
| 预留实例 | 保留容量和保留实例 不受支持。 |
| 工作程序节点类型模板 | 工作节点可提供精选的计算资源。 |
| 工作程序节点主机访问 | 为了安全起见,不能通过 SSH 登录工作节点计算主机。 |
网络
请记住,服务 限制也适用。
| 类别 | 描述 |
|---|---|
| 入口 ALB |
|
| Istio 受管附加组件 | 请参阅 Istio 附加组件限制。 |
| 网络负载均衡器 (NLB) | -无法将现有 NLB 从 V 1.0 更新为 2.0。 必须创建新的 NLB 2.0。 -无法为专用 NLB 创建子域。 -最多可以注册 128 个子域。 可以通过打开支持案例来解除对请求的这一限制。 |
| strongSwan VPN 服务 | 请参阅 strongSwan VPN 服务注意事项。 |
| 服务 IP 地址 | 在 172.21.0.0/16 范围内,每个群集可拥有 65,000 个 IP 地址,可分配给群集中的 Kubernetes 服务。 |
| 每个 VLAN 的子网 | 每个 VLAN 都有 40 个子网的限制。 |
存储器
请记住,服务 限制也适用。
| 类别 | 描述 |
|---|---|
| 卷实例 | 每个帐户的 IBM Cloud 基础架构文件存储卷和块存储卷的总数可为 250 个。 如果安装的数量超过此数量,那么在供应持久卷时可能会看到 out of capacity 消息。 更多常见问题解答,请参阅 文件 和 块 存储文档。 如果要安装更多卷,请 联系 IBM 支持。 在支持凭单中,包含您的帐户标识以及所需的新文件或块存储卷配额。 |
| Portworx | 查看 Portworx 限制。 |
用户访问权
请记住,服务 限制也适用。
| 类别 | 描述 |
|---|---|
| IP 地址访问 | IBM Cloud Kubernetes Service 不支持通过启用IP地址访问来限制特定用户的访问。 如果您想限制用户访问权限或限制用户可以访问的服务和VPC,请考虑 基于上下文的限制。 |
VPC 集群限制
将发布 IBM Cloud Kubernetes Service 中的 VPC 集群,但存在以下限制。 此外,所有底层 VPC 配额,VPC 限制,VPC 服务限制 和 常规服务限制 都适用。
计算
请记住,服务 限制也适用。
| 类别 | 描述 |
|---|---|
| 加密 | 缺省情况下,底层 VPC 基础架构提供程序 会对工作程序节点的辅助磁盘进行静态加密。 但是,您无法 将自己的加密引入底层虚拟服务器实例。 |
| 地区 | VPC 群集仅在 选择多区区域 中可用。 |
| 虚拟私有云 | 请参阅 限制 和 配额。 |
| 工作程序节点类型模板 | 只有某些类型模板可用于工作程序节点虚拟机。 不支持裸机机器。 |
| 工作程序节点主机访问 | 为了安全起见,不能通过 SSH 登录工作节点计算主机。 |
| 工作程序节点更新 | 无法更新或重新加载 VPC 工作节点。 相反,您可以删除 Worker 节点,并使用 ibmcloud ks worker replace 命令重新平衡 Worker 池。 如果同时替换多个工作程序节点,那么将同时删除并替换这些节点,而不是逐个进行替换。 在更换工作程序节点之前,请确保集群中有足够的容量来重新调度工作负载。 |
网络
请记住,服务 限制也适用。
| 类别 | 描述 |
|---|---|
| 应用程序 URL 长度 | DNS 解析由集群的 虚拟专用端点(VPE) 管理,可解析最多 130 个字符的 URL。 如果使用 URL (例如 Ingress 子域) 在集群中公开应用程序,请确保 URL 长度不超过 130 个字符。 |
| Istio 受管附加组件 | 请参阅 Istio 附加组件限制。 |
| 网络速度 | VPC 概要文件网络速度 指的是工作程序节点接口的速度。 可供工作程序节点使用的最大速度为 25Gbps。 由于不同子网上的 pod 之间的流量需要 IP 封装中的 IP,因此不同子网上的 pod 之间的数据传输速度可能较慢,大约是计算概要文件网络速度的一半。 部署到集群的应用程序的总体网络速度取决于工作程序节点大小和应用程序的体系结构。 |
| NodePort | 只有通过 VPN 连接等方式连接到专用 VPC 网络后,才能通过 NodePort 访问应用程序。 要从互联网访问应用程序,必须使用 VPC 负载均衡器或 Ingress 服务。 |
| Pod 网络 | VPC 访问控制表 (ACL) 在子网级别过滤集群的入局和出局流量,安全组在工作程序节点级别过滤集群的入局和出局流量。 要在 pod 到 pod 级别控制集群中的流量,不能使用 VPC 安全组或 ACL。 请改为使用 Calico 和 Kubernetes 网络策略,这可以控制在 IP 封装中使用 IP 的 pod 级别网络流量。 |
| strongSwan VPN 服务 | 不支持 strongSwan 服务。 要将集群连接到本地网络或其他 VPC 中的资源,请参阅 将 VPN 与 VPC 配合使用。 |
| 子网 | -请参阅 VPC 联网限制。 -请勿在集群创建期间或在专区中添加工作程序节点时删除附加到集群的子网。 如果删除集群使用的 VPC 子网,那么使用子网中的 IP 地址的任何负载均衡器都可能迂到问题,并且您可能无法创建新的负载均衡器。 |
| VPC 负载均衡器 | 请参阅 VPC 负载均衡器限制。 |
存储器
请记住,服务 限制也适用。
| 类别 | 描述 |
|---|---|
| Block Storage for VPC 集群附加组件 | 缺省情况下,在 VPC 集群上启用 Block Storage for VPC 集群附加组件。 但是,具有 UBUNTU_18_S390X 工作程序节点的集群当前不支持该附加组件。 使用 UBUNTU_18_S390X 工作程序节点创建 VPC 集群时,附加组件 pod 将保持 Pending 状态。 您可以通过运行 ibmcloud ks cluster addon disable 命令来禁用附加组件。 |
| 概要文件大小的存储类 | 有关更多信息,请参阅 可用卷概要文件。 |
| 支持的类型 |
只能设置 Block Storage for VPC, IBM Cloud Object Storage 和 Cloud Databases 。
|
| 卷连接 | 请参阅 卷连接限制。 |
| Portworx | 查看 Portworx 限制。 |
| Block Storage for VPC | VPC集群中的默认存储类别无法更改。 但是,您可以 创建自己的存储类。 |
用户访问权
请记住,服务 限制也适用。
| 类别 | 描述 |
|---|---|
| IP 地址访问 | IBM Cloud Kubernetes Service 不支持通过启用IP地址访问来限制特定用户的访问。 如果您想限制用户访问权限或限制用户可以访问的服务和VPC,请考虑 基于上下文的限制。 |