k8s 容忍和污点

Taint作用在节点上，能够使节点排斥一类特定的Pod，也就是不能“兼容”该节点的污点的Pod。对应的Toleration作用在Pod上，意为容忍，也就是可以兼容某类污点。

给节点增加一个Taint也很简单，直接使用kubectl taint命令即可，比如给minikube节点设置一个Taint：

kubectl taint nodes minikube taintKey=taintValue:NoSchedule

上述命令给minikube增加了一个Taint，它的taintKey（可以设置为其他值）对应的就是Taint的键，taintValue（可以设置为其他值）对应就是Taint的值，Effect对应的就是NoSchedule，顾名思义，也就是这个Taint的“影响”相当于Taint的“级别”​。这表明只有和这个Taint相匹配的Toleration的Pod才能够被分配到minikube节点上。按如下方式在PodSpec中定义Pod的Toleration，就可以将Pod部署到该节点上。

方式一：完全匹配，operator为Equal，比如能容忍key名为taintKey、value为taintValue、effect为NoSchedule的Taint（Toleration可以定义多个）​：

方式二：不完全匹配，operator为Exists，比如能容忍key名为taintKey、effect为NoSchedule的Taint，不考虑Taint的value是什么：

当然，还可以匹配更大的范围，比如能容忍key名为taintKey的Taint：

综上可知，如果Pod的Toleration配置的operator为Exists（此时toleration不指定value）​，那么一个Toleration和一个Taint相匹配是指它们有一样的key和effect，如果operator是Equal，则它们的value也应该相等。

上述例子使用到effect的一个值NoSchedule（禁止调度的意思，一般该节点要维护或者刚添加节点会配置该Taint）​，

也可以使用PreferNoSchedule，该值定义尽量避免将Pod调度到存在其不能容忍的Taint的节点上，但并不是强制的，也就是说，一个没有配置Toleration的Pod会优先部署至其他节点，没有其他可以调度的节点时，还是可以部署到effect为PreferNoSchedule的节点上的，NoSchedule没有这种机制。

Effect的值还可以设置为NoExecute，如果一个节点的Taint的Effect配置为NoExecute，那么已经在这个节点上的Pod没有配置容忍该Taint的Toleration，这个节点上的Pod会在指定时间内被驱逐到其他节点上，但Effect为NoSchedule或PreferNoSchedule时不会驱逐已经在该节点上的Pod。

一个节点可以设置多个Taint，也可以给一个Pod添加多个Toleration。Kubernetes处理多个Taint和Toleration的过程就像一个过滤器：从一个节点的所有Taint开始遍历，过滤掉那些Pod中存在与之相匹配的Toleration的Taint，余下未被过滤的Taint的effect值决定了Pod是否会被分配到该节点，特别是以下情况：

• 如果未被过滤的Taint中存在一个以上effect值为NoSchedule的Taint，则Kubernetes不会将Pod分配到该节点。

• 如果未被过滤的Taint中不存在effect值为NoExecute的Taint，但是存在effect值为PreferNoSchedule的Taint，则Kubernetes会尝试将Pod分配到该节点。

• 如果未被过滤的Taint中存在一个以上effect值为NoExecute的Taint，则Kubernetes不会将Pod分配到该节点（如果Pod还未在节点上运行）​，或者将Pod从该节点驱逐（如果Pod已经在节点上运行）​。

删除一个Taint和删除Label类似，使用减号（‒）即可：

   kubectl taint nodes k8s-node01 key1:NoExecute-