标签和选择器
标签是附加到 Pod 等对象的键/值对。标签旨在用于指定对用户有意义且相关的对象的识别属性,但并不直接向核心系统暗示语义。标签可用于组织和选择对象的子集。标签可以在创建时附加到对象,并随时添加和修改。每个对象都可以定义一组键/值标签。对于给定对象,每个键必须是唯一的。
"metadata": {
"labels": {
"key1" : "value1",
"key2" : "value2"
}
}
标签允许高效查询和监视,非常适合在 UI 和 CLI 中使用。非识别信息应使用注解记录。
动机
标签使用户能够以松散耦合的方式将其自身的组织结构映射到系统对象上,而无需客户端存储这些映射。
服务部署和批处理管道通常是多维实体(例如,多个分区或部署、多个发布轨道、多个层、每个层多个微服务)。管理通常需要跨领域操作,这会打破严格分层表示的封装,特别是那些由基础设施而非用户决定的僵硬层次结构。
标签示例
"release" : "stable"
,"release" : "canary"
"environment" : "dev"
,"environment" : "qa"
,"environment" : "production"
"tier" : "frontend"
,"tier" : "backend"
,"tier" : "cache"
"partition" : "customerA"
,"partition" : "customerB"
"track" : "daily"
,"track" : "weekly"
这些是常用标签的示例;你可以自由开发自己的约定。请记住,对于给定对象,标签键必须是唯一的。
语法和字符集
标签是键/值对。有效的标签键包含两部分:一个可选前缀和一个名称,两者用斜杠(/
)分隔。名称部分是必需的,长度必须不超过 63 个字符,以字母数字字符([a-z0-9A-Z]
)开头和结尾,中间可以包含短划线(-
)、下划线(_
)、点(.
)和字母数字。前缀是可选的。如果指定,前缀必须是 DNS 子域名:一系列由点(.
)分隔的 DNS 标签,总长度不超过 253 个字符,后跟一个斜杠(/
)。
如果省略前缀,则标签键被视为用户私有。向最终用户对象添加标签的自动化系统组件(例如 kube-scheduler
、kube-controller-manager
、kube-apiserver
、kubectl
或其他第三方自动化)必须指定前缀。
kubernetes.io/
和 k8s.io/
前缀保留给 Kubernetes 核心组件。
有效的标签值
- 长度必须小于或等于 63 个字符(可以为空),
- 除非为空,否则必须以字母数字字符(
[a-z0-9A-Z]
)开头和结尾, - 可以包含短划线(
-
)、下划线(_
)、点(.
)和字母数字。
例如,这是一个具有两个标签 environment: production
和 app: nginx
的 Pod 的清单
apiVersion: v1
kind: Pod
metadata:
name: label-demo
labels:
environment: production
app: nginx
spec:
containers:
- name: nginx
image: nginx:1.14.2
ports:
- containerPort: 80
标签选择器
与名称和 UID 不同,标签不提供唯一性。通常,我们预计许多对象会带有相同的一个或多个标签。
通过标签选择器,客户端/用户可以识别一组对象。标签选择器是 Kubernetes 中核心的分组原语。
API 目前支持两种选择器:基于相等性和基于集合。标签选择器可以由多个用逗号分隔的要求组成。在有多个要求的情况下,所有要求都必须满足,因此逗号分隔符充当逻辑与(&&
)运算符。
空选择器或未指定选择器的语义取决于上下文,使用选择器的 API 类型应记录其有效性和含义。
注意
对于某些 API 类型(例如 ReplicaSets),两个实例的标签选择器在同一命名空间内不得重叠,否则控制器可能将其视为冲突指令,并无法确定应存在多少个副本。注意
对于基于相等性条件和基于集合条件,都没有逻辑 OR(||
)运算符。请确保你的过滤语句结构得当。基于相等性的要求
基于相等性或基于不等性的要求允许通过标签键和值进行过滤。匹配的对象必须满足所有指定的标签约束,尽管它们也可能具有额外的标签。允许三种运算符:=
、==
、!=
。前两个代表相等性(且是同义词),而后者代表不等性。例如
environment = production
tier != frontend
前者选择所有键等于environment
且值等于production
的资源。后者选择所有键等于tier
且值不同于frontend
的资源,以及所有不带tier
键的标签的资源。可以使用逗号运算符过滤production
中不包括frontend
的资源:environment=production,tier!=frontend
基于相等性的标签要求的一个使用场景是 Pod 指定节点选择条件。例如,下面的示例 Pod 选择存在 accelerator
标签并设置为 nvidia-tesla-p100
的节点。
apiVersion: v1
kind: Pod
metadata:
name: cuda-test
spec:
containers:
- name: cuda-test
image: "registry.k8s.io/cuda-vector-add:v0.1"
resources:
limits:
nvidia.com/gpu: 1
nodeSelector:
accelerator: nvidia-tesla-p100
基于集合的要求
基于集合的标签要求允许根据一组值过滤键。支持三种运算符:in
、notin
和 exists
(仅键标识符)。例如
environment in (production, qa)
tier notin (frontend, backend)
partition
!partition
- 第一个示例选择所有键等于
environment
且值等于production
或qa
的资源。 - 第二个示例选择所有键等于
tier
且值不是frontend
和backend
的资源,以及所有不带tier
键的标签的资源。 - 第三个示例选择所有包含键为
partition
的标签的资源;不检查值。 - 第四个示例选择所有不带键为
partition
的标签的资源;不检查值。
同样,逗号分隔符充当 AND 运算符。因此,可以使用 partition,environment notin (qa)
来过滤带有 partition
键(无论值是什么)且 environment
不同于 qa
的资源。基于集合的标签选择器是相等性的一种通用形式,因为 environment=production
等同于 environment in (production)
;同样适用于 !=
和 notin
。
基于集合的要求可以与基于相等性的要求混合使用。例如:partition in (customerA, customerB),environment!=qa
。
API
LIST 和 WATCH 过滤
对于列表和监控操作,你可以指定标签选择器来过滤返回的对象集;你使用查询参数指定过滤器。(要详细了解 Kubernetes 中的监控,请阅读高效的更改检测)。两种要求都允许(这里显示的是它们在 URL 查询字符串中出现的形式)
- 基于相等性的要求:
?labelSelector=environment%3Dproduction,tier%3Dfrontend
- 基于集合的要求:
?labelSelector=environment+in+%28production%2Cqa%29%2Ctier+in+%28frontend%29
这两种标签选择器样式都可以通过 REST 客户端列出或监视资源。例如,使用 kubectl
针对 apiserver
并使用基于相等性的选择器时,可以这样写:
kubectl get pods -l environment=production,tier=frontend
或者使用基于集合的要求
kubectl get pods -l 'environment in (production),tier in (frontend)'
如前所述,基于集合的需求更具表现力。例如,它们可以在值上实现 OR 运算符
kubectl get pods -l 'environment in (production, qa)'
或者通过 notin 运算符限制负向匹配
kubectl get pods -l 'environment,environment notin (frontend)'
API 对象中的集合引用
一些 Kubernetes 对象,例如 services
和 replicationcontrollers
,也使用标签选择器来指定其他资源(例如 pod)的集合。
服务和 ReplicationController
service
所针对的 Pod 集合由标签选择器定义。类似地,replicationcontroller
应管理的 Pod 集合也由标签选择器定义。
两个对象的标签选择器均使用映射在 json
或 yaml
文件中定义,并且仅支持基于相等性的要求选择器
"selector": {
"component" : "redis",
}
或者
selector:
component: redis
此选择器(分别为 json
或 yaml
格式)等效于 component=redis
或 component in (redis)
。
支持基于集合要求的资源
更新的资源,例如 Job
、Deployment
、ReplicaSet
和 DaemonSet
,也支持基于集合的要求。
selector:
matchLabels:
component: redis
matchExpressions:
- { key: tier, operator: In, values: [cache] }
- { key: environment, operator: NotIn, values: [dev] }
matchLabels
是 {key,value}
对的映射。matchLabels
映射中的单个 {key,value}
等效于 matchExpressions
的一个元素,其中 key
字段是“key”,operator
是“In”,并且 values
数组仅包含“value”。matchExpressions
是 Pod 选择器要求的列表。有效运算符包括 In、NotIn、Exists 和 DoesNotExist。在 In 和 NotIn 的情况下,values 集合必须非空。来自 matchLabels
和 matchExpressions
的所有要求都通过 AND 组合在一起——它们必须全部满足才能匹配。
选择节点集
基于标签进行选择的一个用例是限制 Pod 可以调度到的节点集。有关更多信息,请参阅节点选择文档。
有效使用标签
你可以为任何资源应用单个标签,但这并非总是最佳实践。在许多场景中,应使用多个标签来区分资源集。
例如,不同的应用程序会为 app
标签使用不同的值,但一个多层应用程序,例如留言簿示例,还需要区分每个层。前端可以带有以下标签
labels:
app: guestbook
tier: frontend
而 Redis 主节点和副本将具有不同的 tier
标签,甚至可能有一个额外的 role
标签
labels:
app: guestbook
tier: backend
role: master
和
labels:
app: guestbook
tier: backend
role: replica
这些标签允许根据标签指定的任何维度对资源进行切片和分析
kubectl apply -f examples/guestbook/all-in-one/guestbook-all-in-one.yaml
kubectl get pods -Lapp -Ltier -Lrole
NAME READY STATUS RESTARTS AGE APP TIER ROLE
guestbook-fe-4nlpb 1/1 Running 0 1m guestbook frontend <none>
guestbook-fe-ght6d 1/1 Running 0 1m guestbook frontend <none>
guestbook-fe-jpy62 1/1 Running 0 1m guestbook frontend <none>
guestbook-redis-master-5pg3b 1/1 Running 0 1m guestbook backend master
guestbook-redis-replica-2q2yf 1/1 Running 0 1m guestbook backend replica
guestbook-redis-replica-qgazl 1/1 Running 0 1m guestbook backend replica
my-nginx-divi2 1/1 Running 0 29m nginx <none> <none>
my-nginx-o0ef1 1/1 Running 0 29m nginx <none> <none>
kubectl get pods -lapp=guestbook,role=replica
NAME READY STATUS RESTARTS AGE
guestbook-redis-replica-2q2yf 1/1 Running 0 3m
guestbook-redis-replica-qgazl 1/1 Running 0 3m
更新标签
有时,你可能希望在创建新资源之前重新标记现有的 Pod 和其他资源。这可以通过 kubectl label
完成。例如,如果你想将所有 NGINX Pod 标记为前端层,请运行
kubectl label pods -l app=nginx tier=fe
pod/my-nginx-2035384211-j5fhi labeled
pod/my-nginx-2035384211-u2c7e labeled
pod/my-nginx-2035384211-u3t6x labeled
这首先会过滤所有带有 "app=nginx" 标签的 Pod,然后用 "tier=fe" 标记它们。要查看已标记的 Pod,请运行
kubectl get pods -l app=nginx -L tier
NAME READY STATUS RESTARTS AGE TIER
my-nginx-2035384211-j5fhi 1/1 Running 0 23m fe
my-nginx-2035384211-u2c7e 1/1 Running 0 23m fe
my-nginx-2035384211-u3t6x 1/1 Running 0 23m fe
这将输出所有 "app=nginx" Pod,并附带一个额外的 Pod 层标签列(用 -L
或 --label-columns
指定)。
有关更多信息,请参阅 kubectl label。
下一步
- 了解如何为节点添加标签
- 查找知名标签、注解和污点
- 请参阅推荐标签
- 使用命名空间标签强制执行 Pod 安全标准
- 阅读关于为 Pod 标签编写控制器的博客