K8S中,kubectl cordon、uncordon、drain、taint的区别
一、核心功能与区别
| 命令 | 作用 | 对现有 Pod 的影响 | 调度状态变化 | 典型场景 |
|---|---|---|---|---|
kubectl cordon <节点名> | 标记节点为不可调度(SchedulingDisabled) | ❌ 不驱逐任何 Pod(包括 DaemonSet) ✅ 新 Pod 无法调度到该节点 | 节点转为 Ready,SchedulingDisabled | 临时隔离节点(预检或短期维护) |
kubectl uncordon <节点名> | 恢复节点可调度状态 | ❌ 不主动迁移或重建 Pod ✅ 允许新 Pod 调度到该节点 | 节点恢复为 Ready | 节点维护完成后重新加入集群 |
kubectl drain <节点名> | 驱逐节点所有非系统 Pod,并自动标记节点为不可调度(隐含 cordon 操作) | ✅ 驱逐所有非 DaemonSet Pod(由控制器在其他节点重建) ❌ 默认忽略 DaemonSet Pod(需 --ignore-daemonsets 绕过) | 节点转为 SchedulingDisabled | 节点维护(升级/重置)或永久下线 |
kubectl taint <节点名> | 添加/删除污点以影响 Pod 调度 | ❌ 不驱逐现有 Pod ✅ 新 Pod 需匹配容忍度才能调度到该节点 | 通过污点规则间接控制调度 | 实现节点亲和性/反亲和性策略 |
二、关键细节说明
drain的特殊参数
- 需显式添加
--delete-emptydir-data以清理使用emptyDir的 Pod 数据; - 强制操作时使用
--force(可能中断无控制器管理的 Pod),但需谨慎避免关键服务中断。
drain与 PDB 的关系
驱逐过程受 PodDisruptionBudget(PDB)约束,若违反最小可用副本数则操作失败,确保服务高可用。cordon与污点的关联
执行cordon后节点自动添加污点:node.kubernetes.io/unschedulable:NoSchedule,禁止新 Pod 调度。taint的调度控制
污点是持续策略(如NoSchedule、PreferNoSchedule),需配合 Pod 的tolerations实现灵活调度。
三、操作流程建议
节点维护标准流程
kubectl cordon <节点名> # 阻止新 Pod 调度到该节点 kubectl drain <节点名> --ignore-daemonsets # 驱逐 Pod 并禁用调度 ... # 执行维护(如升级内核) kubectl uncordon <节点名> # 恢复节点可调度状态临时隔离与恢复
kubectl cordon <节点名> # 快速隔离(不驱逐 Pod) kubectl uncordon <节点名> # 直接恢复污点策略配置示例
kubectl taint nodes <节点名> key=value:NoSchedule # 添加污点 kubectl taint nodes <节点名> key=value:NoSchedule- # 删除污点
四、总结对比
| 维度 | cordon | uncordon | drain | taint |
|---|---|---|---|---|
| 核心目标 | 禁用新 Pod 调度 | 恢复新 Pod 调度 | 驱逐 Pod 并禁用调度 | 通过污点规则控制调度 |
| 驱逐行为 | 否 | 否 | 是(非 DaemonSet Pod) | 否 |
| 自动化程度 | 手动隔离 | 手动恢复 | 自动驱逐 + 隐含隔离 | 需手动配置污点/容忍度 |