第 4 章 在 Azure 上部署 OpenShift 沙盒容器

您必须确保集群有足够的资源。

对等 pod 虚拟机(VM)需要位于两个位置的资源：

Kubernetes worker 节点中使用的 CPU 和内存资源由 RuntimeClass (kata-remote)定义中包含的 pod 开销 处理，用于创建对等 pod。

在云中运行的对等 pod 虚拟机总数定义为 Kubernetes 节点扩展资源。这个限制是每个节点，并由 peerpodConfig 自定义资源(CR)中的 limit 属性设置。

在创建 kataConfig CR 并启用对等 pod 时，名为 peerpodconfig-openshift 的 peerpodConfig CR 会被创建，位于 openshift-sandboxed-containers-operator 命名空间中。

以下 peerpodConfig CR 示例显示默认的 spec 值：

apiVersion: confidentialcontainers.org/v1alpha1
kind: PeerPodConfig
metadata:
  name: peerpodconfig-openshift
  namespace: openshift-sandboxed-containers-operator
spec:
  cloudSecretName: peer-pods-secret
  configMapName: peer-pods-cm
  limit: "10" 
  nodeSelector:
    node-role.kubernetes.io/kata-oc: ""

apiVersion: confidentialcontainers.org/v1alpha1
kind: PeerPodConfig
metadata:
  name: peerpodconfig-openshift
  namespace: openshift-sandboxed-containers-operator
spec:
  cloudSecretName: peer-pods-secret
  configMapName: peer-pods-cm
  limit: "10" 

  nodeSelector:
    node-role.kubernetes.io/kata-oc: ""

扩展资源名为 kata.peerpods.io/vm，并允许 Kubernetes 调度程序处理容量跟踪和核算。

在安装 OpenShift 沙盒容器 Operator 后，您可以根据环境要求编辑每个节点的限制。

变异 Webhook 将扩展的资源 kata.peerpods.io/vm 添加到 pod 规格中。如果存在，它还会从 pod 规格中删除任何特定于资源的条目。这可让 Kubernetes 调度程序考虑这些扩展资源，确保仅在资源可用时调度对等 pod。

变异 Webhook 修改 Kubernetes pod，如下所示：