我可以在Openshift主节点或Infra节点上运行用户荚吗？

Question

对于openshift来说，我有点困惑，我们是否可以在主节点或下节点上运行用户荚。我们有两个工作节点，一个主节点和下节点，每个节点构成4个节点。更改的原因是在所有4个节点之间而不是在两个计算节点之间共享负载。

通过阅读一些文档，似乎可以为一个节点分配两个角色，但是是否存在任何安全风险，或者这不是最佳实践？

在openshift版本V3.11.0+d 699176-406上运行

Answer 1

如果我们可以在主节点或下节点上运行用户荚

是的，绝对可以，最简单的方法是在安装时配置它，例如参考https://docs.openshift.com/container-platform/3.11/install/example_inventories.html#multi-masters-using-native-ha-ai

是否存在安全风险，或者它不是最佳实践？

运行单个主节点或单个下节点已经对您的集群的高可用性带来了风险。如果主服务器失败--您的集群基本上是无头的，如果下位节点失败--您就失去了内部注册表和路由器--从而失去了外部访问或为您的映像创建新映像的能力。这也适用于主机操作系统升级，您将不得不重新启动主节点和下位节点的某一天，您是否可以保证在修补期间停机时间？如果在更新过程中出了问题怎么办？

关于在主节点和下节点上运行用户工作负载--如果您没有运行特权SCCs (允许运行特权荚或在系统上使用任何uids等)，那么您在某种程度上是安全的，前提是您正在使用的容器引擎中没有已知的bug。但是，您应该密切注意资源消耗，避免在没有CPU和内存限制的情况下运行任何工作负载，因为重载主节点可能导致集群退化。您还应该监视磁盘的使用情况，因为运行用户荚会导致更多的映像加载到您的停靠库存储中。

所以基本上可以归结为：

最好有多个主节点(理想情况下是3)和两个子节点，而不是这两个角色的单一故障点。拥有独立的主节点和工作节点当然比一起托管它们更好，但是如果您仔细观察资源使用情况，即使使用用户工作负载，多机设置也应该更有弹性。