Kubernetes の運用における 6 つの興味深いシステム バグ [およびその解決策]

実稼働環境での Kubernetes の長年の使用を通じて、さまざまなシステム コンポーネントのバグがどのようにコンテナやポッドの動作に影響を与える不快な、または理解できない結果につながったかについて、私たちは多くの興味深い話を蓄積してきました。 この記事では、最も一般的なものまたは興味深いものをいくつか選択しました。 たとえそのような状況に遭遇するほど幸運ではなかったとしても、このような短い探偵小説を読むこと、特に「直接」を読むことは常に興味深いですよね。

ストーリー 1. Supercronic と Docker ハング

クラスターの XNUMX つでは、定期的にフリーズした Docker を受け取り、クラスターの通常の機能を妨げていました。 同時に、Docker ログで次のことが観察されました。

level=error msg="containerd: start init process" error="exit status 2: "runtime/cgo: pthread_create failed: No space left on device
SIGABRT: abort
PC=0x7f31b811a428 m=0

goroutine 0 [idle]:

goroutine 1 [running]:
runtime.systemstack_switch() /usr/local/go/src/runtime/asm_amd64.s:252 fp=0xc420026768 sp=0xc420026760
runtime.main() /usr/local/go/src/runtime/proc.go:127 +0x6c fp=0xc4200267c0 sp=0xc420026768
runtime.goexit() /usr/local/go/src/runtime/asm_amd64.s:2086 +0x1 fp=0xc4200267c8 sp=0xc4200267c0

goroutine 17 [syscall, locked to thread]:
runtime.goexit() /usr/local/go/src/runtime/asm_amd64.s:2086 +0x1

…

このエラーで最も興味深いのは、次のメッセージです。 pthread_create failed: No space left on device。 簡単な学習 ドキュメンテーション Docker はプロセスをフォークできず、それが定期的にフリーズする理由だと説明しました。

モニタリングでは、次の図が何が起こっているかに対応します。

同様の状況が他のノードでも観察されます。

同じノードで次のことがわかります。

root@kube-node-1 ~ # ps auxfww | grep curl -c
19782
root@kube-node-1 ~ # ps auxfww | grep curl | head
root     16688  0.0  0.0      0     0 ?        Z    Feb06   0:00      |       _ [curl] <defunct>
root     17398  0.0  0.0      0     0 ?        Z    Feb06   0:00      |       _ [curl] <defunct>
root     16852  0.0  0.0      0     0 ?        Z    Feb06   0:00      |       _ [curl] <defunct>
root      9473  0.0  0.0      0     0 ?        Z    Feb06   0:00      |       _ [curl] <defunct>
root      4664  0.0  0.0      0     0 ?        Z    Feb06   0:00      |       _ [curl] <defunct>
root     30571  0.0  0.0      0     0 ?        Z    Feb06   0:00      |       _ [curl] <defunct>
root     24113  0.0  0.0      0     0 ?        Z    Feb06   0:00      |       _ [curl] <defunct>
root     16475  0.0  0.0      0     0 ?        Z    Feb06   0:00      |       _ [curl] <defunct>
root      7176  0.0  0.0      0     0 ?        Z    Feb06   0:00      |       _ [curl] <defunct>
root      1090  0.0  0.0      0     0 ?        Z    Feb06   0:00      |       _ [curl] <defunct>

この動作は、ポッドが連携していることの結果であることが判明しました。 超慢性的な (ポッドで cron ジョブを実行するために使用する Go ユーティリティ):

 _ docker-containerd-shim 833b60bb9ff4c669bb413b898a5fd142a57a21695e5dc42684235df907825567 /var/run/docker/libcontainerd/833b60bb9ff4c669bb413b898a5fd142a57a21695e5dc42684235df907825567 docker-runc
|   _ /usr/local/bin/supercronic -json /crontabs/cron
|       _ /usr/bin/newrelic-daemon --agent --pidfile /var/run/newrelic-daemon.pid --logfile /dev/stderr --port /run/newrelic.sock --tls --define utilization.detect_aws=true --define utilization.detect_azure=true --define utilization.detect_gcp=true --define utilization.detect_pcf=true --define utilization.detect_docker=true
|       |   _ /usr/bin/newrelic-daemon --agent --pidfile /var/run/newrelic-daemon.pid --logfile /dev/stderr --port /run/newrelic.sock --tls --define utilization.detect_aws=true --define utilization.detect_azure=true --define utilization.detect_gcp=true --define utilization.detect_pcf=true --define utilization.detect_docker=true -no-pidfile
|       _ [newrelic-daemon] <defunct>
|       _ [curl] <defunct>
|       _ [curl] <defunct>
|       _ [curl] <defunct>
…

問題は、タスクが supercronic で実行されると、そのタスクによって生成されるプロセスです。 正しく終了できませんに変わります ゾンビ.

注意: より正確に言うと、プロセスは cron タスクによって生成されますが、supercronic は init システムではないため、その子が生成したプロセスを「採用」することはできません。 SIGHUP または SIGTERM シグナルが発生しても、それらは子プロセスに渡されないため、子プロセスは終了せず、ゾンビ状態のままになります。 これらすべてについて詳しくは、たとえば、次の記事を参照してください。 そのような記事.

問題を解決するには、いくつかの方法があります。

1. 一時的な回避策として、ある時点でシステム内の PID の数を増やします。

          /proc/sys/kernel/pid_max (since Linux 2.5.34)
                 This file specifies the value at which PIDs wrap around (i.e., the value in this file is one greater than the maximum PID).  PIDs greater than this  value  are  not  allo‐
                 cated;  thus, the value in this file also acts as a system-wide limit on the total number of processes and threads.  The default value for this file, 32768, results in the
                 same range of PIDs as on earlier kernels

2. または、直接ではなく、同じものを使用して supercronic でタスクを起動します TINI、プロセスを正しく終了でき、ゾンビを生成しません。

ストーリー 2. cgroup を削除すると「ゾンビ」が発生する

Kubelet が大量の CPU を消費し始めました。

誰もこれを好まないだろう、だから私たちは武装した perf そしてその問題に取り組み始めました。 調査の結果は次のとおりでした。

• Kubelet は、CPU 時間の XNUMX 分の XNUMX 以上をすべての cgroup からのメモリ データの取得に費やします。

  

• カーネル開発者のメーリング リストには、次のものがあります。 問題についての議論。 要するに、要点は次のとおりです。 さまざまな tmpfs ファイルやその他の同様のものはシステムから完全には削除されていません cgroup を削除するとき、いわゆる memcg ゾンビ。 遅かれ早かれそれらはページ キャッシュから削除されますが、サーバーには大量のメモリがあり、カーネルはそれらを削除することに時間を無駄にする意味を認識しません。 だからこそどんどん溜まっていくのです。 なぜこのようなことが起こっているのでしょうか? これは、新しいジョブとそれに伴う新しいポッドを常に作成する cron ジョブを備えたサーバーです。 したがって、その中のコンテナに対して新しい cgroup が作成されますが、それらはすぐに削除されます。
• kubelet の cAdvisor がこれほど時間を無駄にするのはなぜですか? これは最も単純な実行で簡単に確認できます time cat /sys/fs/cgroup/memory/memory.stat。 正常なマシンでは操作に 0,01 秒かかりますが、問題のある cron02 では 1,2 秒かかります。 問題は、cAdvisor が sysfs からデータを読み取るのが非常に遅いため、ゾンビ cgroup で使用されるメモリを考慮しようとすることです。
• ゾンビを強制的に削除するために、LKML で推奨されているようにキャッシュをクリアしてみました。 sync; echo 3 > /proc/sys/vm/drop_caches, - しかし、カーネルはより複雑であることが判明し、車をクラッシュさせました。

何をするか？ 問題は修正中です (専念、説明については、を参照してください。 リリースメッセージ) Linux カーネルをバージョン 4.16 に更新します。

歴史 3. Systemd とそのマウント

繰り返しますが、kubelet は一部のノードでリソースを過剰に消費していますが、今回はメモリを大量に消費しています。

Ubuntu 16.04で使用されるsystemdに問題があり、接続用に作成されたマウントの管理時に発生することが判明 subPath ConfigMap またはシークレットから。 ポッドが作業を完了した後 systemd サービスとそのサービス マウントは残ります システム内で。 時間が経つにつれて、それらは膨大な数に蓄積されます。 このトピックに関する問題もあります。

1. #5916;
2. Kubernetes #57345.

...最後の部分は systemd の PR を指します。 #7811 (systemd の問題 - #7798).

この問題は Ubuntu 18.04 では存在しませんが、Ubuntu 16.04 を引き続き使用したい場合は、このトピックに関する回避策が役に立つかもしれません。

そこで、次の DaemonSet を作成しました。

---
apiVersion: extensions/v1beta1
kind: DaemonSet
metadata:
  labels:
    app: systemd-slices-cleaner
  name: systemd-slices-cleaner
  namespace: kube-system
spec:
  updateStrategy:
    type: RollingUpdate
  selector:
    matchLabels:
      app: systemd-slices-cleaner
  template:
    metadata:
      labels:
        app: systemd-slices-cleaner
    spec:
      containers:
      - command:
        - /usr/local/bin/supercronic
        - -json
        - /app/crontab
        Image: private-registry.org/systemd-slices-cleaner/systemd-slices-cleaner:v0.1.0
        imagePullPolicy: Always
        name: systemd-slices-cleaner
        resources: {}
        securityContext:
          privileged: true
        volumeMounts:
        - name: systemd
          mountPath: /run/systemd/private
        - name: docker
          mountPath: /run/docker.sock
        - name: systemd-etc
          mountPath: /etc/systemd
        - name: systemd-run
          mountPath: /run/systemd/system/
        - name: lsb-release
          mountPath: /etc/lsb-release-host
      imagePullSecrets:
      - name: antiopa-registry
      priorityClassName: cluster-low
      tolerations:
      - operator: Exists
      volumes:
      - name: systemd
        hostPath:
          path: /run/systemd/private
      - name: docker
        hostPath:
          path: /run/docker.sock
      - name: systemd-etc
        hostPath:
          path: /etc/systemd
      - name: systemd-run
        hostPath:
          path: /run/systemd/system/
      - name: lsb-release
        hostPath:
          path: /etc/lsb-release

...そして、次のスクリプトを使用します。

#!/bin/bash

# we will work only on xenial
hostrelease="/etc/lsb-release-host"
test -f ${hostrelease} && grep xenial ${hostrelease} > /dev/null || exit 0

# sleeping max 30 minutes to dispense load on kube-nodes
sleep $((RANDOM % 1800))

stoppedCount=0
# counting actual subpath units in systemd
countBefore=$(systemctl list-units | grep subpath | grep "run-" | wc -l)
# let's go check each unit
for unit in $(systemctl list-units | grep subpath | grep "run-" | awk '{print $1}'); do
  # finding description file for unit (to find out docker container, who born this unit)
  DropFile=$(systemctl status ${unit} | grep Drop | awk -F': ' '{print $2}')
  # reading uuid for docker container from description file
  DockerContainerId=$(cat ${DropFile}/50-Description.conf | awk '{print $5}' | cut -d/ -f6)
  # checking container status (running or not)
  checkFlag=$(docker ps | grep -c ${DockerContainerId})
  # if container not running, we will stop unit
  if [[ ${checkFlag} -eq 0 ]]; then
    echo "Stopping unit ${unit}"
    # stoping unit in action
    systemctl stop $unit
    # just counter for logs
    ((stoppedCount++))
    # logging current progress
    echo "Stopped ${stoppedCount} systemd units out of ${countBefore}"
  fi
done

...そして、前述の supercronic を使用して 5 分ごとに実行されます。 その Dockerfile は次のようになります。

FROM ubuntu:16.04
COPY rootfs /
WORKDIR /app
RUN apt-get update && 
    apt-get upgrade -y && 
    apt-get install -y gnupg curl apt-transport-https software-properties-common wget
RUN add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu xenial stable" && 
    curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - && 
    apt-get update && 
    apt-get install -y docker-ce=17.03.0*
RUN wget https://github.com/aptible/supercronic/releases/download/v0.1.6/supercronic-linux-amd64 -O 
    /usr/local/bin/supercronic && chmod +x /usr/local/bin/supercronic
ENTRYPOINT ["/bin/bash", "-c", "/usr/local/bin/supercronic -json /app/crontab"]

ストーリー 4. ポッドをスケジュールする際の競争力

ポッドをノードに配置し、そのイメージが非常に長い間ポンプアウトされている場合、同じノードに「ヒット」する別のポッドは単に 新しいポッドのイメージのプルが開始されません。 代わりに、前のポッドのイメージがプルされるまで待機します。 その結果、すでにスケジュールされており、イメージがわずか XNUMX 分でダウンロードできた可能性があるポッドは、最終的に次のステータスになります。 containerCreating.

イベントは次のようになります。

Normal  Pulling    8m    kubelet, ip-10-241-44-128.ap-northeast-1.compute.internal  pulling image "registry.example.com/infra/openvpn/openvpn:master"

これは、ことが判明 遅いレジストリからの XNUMX つのイメージが展開をブロックする可能性があります ノードごとに。

残念ながら、この状況から抜け出す方法はあまりありません。

1. Docker レジストリをクラスター内で直接使用するか、クラスター (GitLab レジストリー、Nexus など) で直接使用してみてください。
2. 次のようなユーティリティを使用します。 クラーケン.

ストーリー 5. メモリ不足によりノードがハングする

さまざまなアプリケーションの動作中に、ノードが完全にアクセスできなくなる状況にも遭遇しました。SSH が応答せず、すべての監視デーモンが停止し、その後ログには異常が何も (またはほとんど何も) なくなります。

MongoDB が機能する XNUMX つのノードを例に、写真で説明します。

頂上はこんな感じです до 事故:

そしてこのように - 後の 事故:

モニタリングでは、ノードが使用できなくなる急激なジャンプもあります。

したがって、スクリーンショットから次のことが明らかです。

1. マシン上の RAM が終わりに近づいています。
2. RAM 消費量が急激に増加し、その後マシン全体へのアクセスが突然無効になります。
3. 大きなタスクが Mongo に到着すると、DBMS プロセスはより多くのメモリを使用し、ディスクから積極的に読み取ることが強制されます。

Linux の空きメモリが不足し (メモリ負荷がかかると)、スワップが存在しない場合、 до OOM キラーが登場すると、ページをページ キャッシュにスローすることと、ページをディスクに書き戻すことの間でバランスを取る必要が生じる可能性があります。 これは kswapd によって行われ、その後の配布のために可能な限り多くのメモリ ページを大胆に解放します。

残念ながら、I/O 負荷が大きく空きメモリが少ないため、 kswapd がシステム全体のボトルネックになる、それに縛られているからです。 すべて システム内のメモリ ページの割り当て (ページ フォールト)。 プロセスがメモリをもう使用したくないにもかかわらず、OOM キラーの深淵の端で修正されている場合、これは非常に長い間続く可能性があります。

当然の疑問は、OOM キラーはなぜこんなに遅いのかということです。 現在の反復では、OOM キラーは非常に愚かです。メモリ ページの割り当てが失敗した場合にのみプロセスを強制終了します。 ページフォルトが失敗した場合。 kswapd はメモリ ページを大胆に解放し、ページ キャッシュ (実際にはシステム内のディスク I/O 全体) をディスクにダンプして戻すため、これはかなり長い間起こりません。 カーネル内でそのような問題を解決するために必要な手順の詳細については、次を参照してください。 ここで.

この動作 改善する必要があります Linux カーネル 4.6 以降を使用。

ストーリー 6. ポッドが保留状態でスタックする

実際に多くのポッドが動作している一部のクラスターでは、ほとんどのポッドが状態で非常に長い間「ハング」していることに気づき始めました。 Pendingただし、Docker コンテナ自体はノード上ですでに実行されており、手動で操作できます。

これで describe 何も問題はありません:

  Type    Reason                  Age                From                     Message
  ----    ------                  ----               ----                     -------
  Normal  Scheduled               1m                 default-scheduler        Successfully assigned sphinx-0 to ss-dev-kub07
  Normal  SuccessfulAttachVolume  1m                 attachdetach-controller  AttachVolume.Attach succeeded for volume "pvc-6aaad34f-ad10-11e8-a44c-52540035a73b"
  Normal  SuccessfulMountVolume   1m                 kubelet, ss-dev-kub07    MountVolume.SetUp succeeded for volume "sphinx-config"
  Normal  SuccessfulMountVolume   1m                 kubelet, ss-dev-kub07    MountVolume.SetUp succeeded for volume "default-token-fzcsf"
  Normal  SuccessfulMountVolume   49s (x2 over 51s)  kubelet, ss-dev-kub07    MountVolume.SetUp succeeded for volume "pvc-6aaad34f-ad10-11e8-a44c-52540035a73b"
  Normal  Pulled                  43s                kubelet, ss-dev-kub07    Container image "registry.example.com/infra/sphinx-exporter/sphinx-indexer:v1" already present on machine
  Normal  Created                 43s                kubelet, ss-dev-kub07    Created container
  Normal  Started                 43s                kubelet, ss-dev-kub07    Started container
  Normal  Pulled                  43s                kubelet, ss-dev-kub07    Container image "registry.example.com/infra/sphinx/sphinx:v1" already present on machine
  Normal  Created                 42s                kubelet, ss-dev-kub07    Created container
  Normal  Started                 42s                kubelet, ss-dev-kub07    Started container

いくつか調べた結果、kubelet にはポッドの状態と活性/準備テストに関するすべての情報を API サーバーに送信する時間が単にないのではないかという仮定を立てました。

ヘルプを調べた結果、次のパラメータが見つかりました。

--kube-api-qps - QPS to use while talking with kubernetes apiserver (default 5)
--kube-api-burst  - Burst to use while talking with kubernetes apiserver (default 10) 
--event-qps - If > 0, limit event creations per second to this value. If 0, unlimited. (default 5)
--event-burst - Maximum size of a bursty event records, temporarily allows event records to burst to this number, while still not exceeding event-qps. Only used if --event-qps > 0 (default 10) 
--registry-qps - If > 0, limit registry pull QPS to this value.
--registry-burst - Maximum size of bursty pulls, temporarily allows pulls to burst to this number, while still not exceeding registry-qps. Only used if --registry-qps > 0 (default 10)

ご覧のとおり デフォルト値はかなり小さい、90％ですべてのニーズをカバーします...しかし、私たちの場合、これでは十分ではありませんでした。 したがって、次の値を設定します。

--event-qps=30 --event-burst=40 --kube-api-burst=40 --kube-api-qps=30 --registry-qps=30 --registry-burst=40

...kubelet を再起動すると、API サーバーへの呼び出しのグラフに次の図が表示されます。

...そして、はい、すべてが飛び始めました!

PS

バグの収集とこの記事の作成にご協力いただいた当社の多数のエンジニア、特に研究開発チームの同僚である Andrey Klimentyev に深く感謝の意を表します (ズザス).

PPS

私たちのブログもお読みください:

• «Kubernetes ポッドでデバッグするための kubectl-debug プラグイン'。
• Kubernetes のヒントとコツのループ:
  • «クラスター内で実行されているリソースを Helm 2 管理に転送する";
  • «Web アプリケーションのノード割り当てと負荷について";
  • «開発サイトへのアクセス";
  • «大規模データベースのブートストラップを高速化する'。

出所： habr.com