ສອງສາມປີກ່ອນ Kubernetes ສົນທະນາແລ້ວ ໃນ blog GitHub ຢ່າງເປັນທາງການ. ນັບຕັ້ງແຕ່ນັ້ນມາ, ມັນໄດ້ກາຍເປັນເຕັກໂນໂລຢີມາດຕະຖານສໍາລັບການນໍາໃຊ້ການບໍລິການ. ດຽວນີ້ Kubernetes ຈັດການສ່ວນສຳຄັນຂອງການບໍລິການພາຍໃນ ແລະສາທາລະນະ. ເມື່ອກຸ່ມຂອງພວກເຮົາເຕີບໃຫຍ່ຂຶ້ນ ແລະຄວາມຕ້ອງການດ້ານປະສິດທິພາບໄດ້ເຂັ້ມງວດຂຶ້ນ, ພວກເຮົາເລີ່ມສັງເກດເຫັນວ່າບາງບໍລິການໃນ Kubernetes ປະສົບກັບຄວາມລ່າຊ້າທີ່ບໍ່ສາມາດອະທິບາຍໄດ້ໂດຍການໂຫຼດຂອງແອັບພລິເຄຊັນເອງ.

ໂດຍຫລັກການແລ້ວ, ແອັບພລິເຄຊັນຈະມີປະສົບການ latency ເຄືອຂ່າຍແບບສຸ່ມເຖິງ 100ms ຫຼືຫຼາຍກວ່ານັ້ນ, ເຊິ່ງກໍ່ໃຫ້ເກີດການໝົດເວລາ ຫຼືການພະຍາຍາມໃໝ່. ບໍລິການຄາດວ່າຈະສາມາດຕອບສະຫນອງຄໍາຮ້ອງຂໍໄດ້ໄວກວ່າ 100ms. ແຕ່ນີ້ເປັນໄປບໍ່ໄດ້ຖ້າການເຊື່ອມຕໍ່ຕົວມັນເອງໃຊ້ເວລາຫຼາຍ. ແຍກຕ່າງຫາກ, ພວກເຮົາໄດ້ສັງເກດເຫັນການສອບຖາມ MySQL ທີ່ໄວຫຼາຍທີ່ຄວນຈະໃຊ້ເວລາ milliseconds, ແລະ MySQL ສໍາເລັດໃນ milliseconds, ແຕ່ຈາກທັດສະນະຂອງຄໍາຮ້ອງສະຫມັກການຮ້ອງຂໍ, ການຕອບສະຫນອງໃຊ້ເວລາ 100ms ຫຼືຫຼາຍກວ່ານັ້ນ.

ມັນທັນທີທີ່ເຫັນໄດ້ຊັດເຈນວ່າບັນຫາເກີດຂຶ້ນພຽງແຕ່ເມື່ອເຊື່ອມຕໍ່ກັບ node Kubernetes, ເຖິງແມ່ນວ່າການໂທມາຈາກນອກ Kubernetes. ວິທີທີ່ງ່າຍທີ່ສຸດທີ່ຈະແຜ່ພັນບັນຫາແມ່ນຢູ່ໃນການທົດສອບ ຜັກສະຫລັດ, ເຊິ່ງດໍາເນີນການຈາກແມ່ຂ່າຍພາຍໃນໃດໆ, ທົດສອບການບໍລິການ Kubernetes ໃນພອດສະເພາະ, ແລະລົງທະບຽນເປັນໄລຍະໆ latency ສູງ. ໃນບົດຄວາມນີ້, ພວກເຮົາຈະເບິ່ງວິທີການທີ່ພວກເຮົາສາມາດຕິດຕາມສາເຫດຂອງບັນຫານີ້.

ການກໍາຈັດຄວາມສັບສົນທີ່ບໍ່ຈໍາເປັນໃນລະບົບຕ່ອງໂສ້ທີ່ນໍາໄປສູ່ຄວາມລົ້ມເຫລວ

ໂດຍການສ້າງຕົວຢ່າງດຽວກັນ, ພວກເຮົາຕ້ອງການເຮັດໃຫ້ຈຸດສຸມຂອງບັນຫາແຄບລົງແລະເອົາຊັ້ນຂອງຄວາມສັບສົນທີ່ບໍ່ຈໍາເປັນອອກ. ໃນເບື້ອງຕົ້ນ, ມີອົງປະກອບຫຼາຍເກີນໄປໃນການໄຫຼລະຫວ່າງ Vegeta ແລະຝັກ Kubernetes. ເພື່ອກໍານົດບັນຫາເຄືອຂ່າຍທີ່ເລິກເຊິ່ງ, ທ່ານຈໍາເປັນຕ້ອງໄດ້ປະຕິເສດບາງສ່ວນຂອງພວກມັນ.

ລູກຄ້າ (Vegeta) ສ້າງການເຊື່ອມຕໍ່ TCP ກັບ node ໃດໃນ cluster. Kubernetes ເຮັດວຽກເປັນເຄືອຂ່າຍຊ້ອນກັນ (ຢູ່ເທິງສຸດຂອງເຄືອຂ່າຍສູນຂໍ້ມູນທີ່ມີຢູ່ແລ້ວ) ທີ່ໃຊ້ IPIP, ນັ້ນແມ່ນ, ມັນຫຸ້ມຫໍ່ຊຸດ IP ຂອງເຄືອຂ່າຍຊ້ອນກັນພາຍໃນຊຸດ IP ຂອງສູນຂໍ້ມູນ. ເມື່ອເຊື່ອມຕໍ່ກັບ node ທໍາອິດ, ການແປພາສາທີ່ຢູ່ເຄືອຂ່າຍແມ່ນດໍາເນີນການ ການແປທີ່ຢູ່ເຄືອຂ່າຍ (NAT) stateful ເພື່ອແປທີ່ຢູ່ IP ແລະພອດຂອງ node Kubernetes ໄປຫາທີ່ຢູ່ IP ແລະພອດໃນເຄືອຂ່າຍ overlay (ໂດຍສະເພາະ, pod ກັບຄໍາຮ້ອງສະຫມັກ). ສໍາລັບແພັກເກັດທີ່ເຂົ້າມາ, ລໍາດັບການກັບຄືນຂອງການປະຕິບັດແມ່ນປະຕິບັດ. ມັນເປັນລະບົບທີ່ຊັບຊ້ອນທີ່ມີຫຼາຍລັດແລະຫຼາຍອົງປະກອບທີ່ປັບປຸງແລະປ່ຽນແປງຢ່າງຕໍ່ເນື່ອງຍ້ອນວ່າການບໍລິການຖືກປະຕິບັດແລະຍ້າຍອອກ.

ປະໂຫຍດ tcpdump ໃນການທົດສອບ Vegeta ມີຄວາມຊັກຊ້າໃນລະຫວ່າງການຈັບມື TCP (ລະຫວ່າງ SYN ແລະ SYN-ACK). ເພື່ອເອົາຄວາມສັບສົນທີ່ບໍ່ຈໍາເປັນນີ້, ທ່ານສາມາດນໍາໃຊ້ hping3 ສໍາລັບ "pings" ງ່າຍໆກັບແພັກເກັດ SYN. ພວກເຮົາກວດເບິ່ງວ່າມີຄວາມຊັກຊ້າໃນຊຸດການຕອບໂຕ້, ແລະຫຼັງຈາກນັ້ນຕັ້ງຄ່າການເຊື່ອມຕໍ່ໃຫມ່. ພວກເຮົາສາມາດກັ່ນຕອງຂໍ້ມູນພຽງແຕ່ລວມເອົາແພັກເກັດທີ່ມີຂະຫນາດໃຫຍ່ກວ່າ 100ms ເທົ່ານັ້ນແລະໄດ້ຮັບວິທີທີ່ງ່າຍກວ່າທີ່ຈະສ້າງບັນຫາໃຫມ່ກວ່າການທົດສອບເຄືອຂ່າຍຊັ້ນ 7 ເຕັມໃນ Vegeta. ນີ້ແມ່ນ node Kubernetes "pings" ໂດຍໃຊ້ TCP SYN / SYN-ACK ໃນການບໍລິການ "node port" (30927) ໃນໄລຍະ 10ms, ການກັ່ນຕອງໂດຍຄໍາຕອບທີ່ຊ້າທີ່ສຸດ:

theojulienne@shell ~ $ sudo hping3 172.16.47.27 -S -p 30927 -i u10000 | egrep --line-buffered 'rtt=[0-9]{3}.'

len=46 ip=172.16.47.27 ttl=59 DF id=0 sport=30927 flags=SA seq=1485 win=29200 rtt=127.1 ms

len=46 ip=172.16.47.27 ttl=59 DF id=0 sport=30927 flags=SA seq=1486 win=29200 rtt=117.0 ms

len=46 ip=172.16.47.27 ttl=59 DF id=0 sport=30927 flags=SA seq=1487 win=29200 rtt=106.2 ms

len=46 ip=172.16.47.27 ttl=59 DF id=0 sport=30927 flags=SA seq=1488 win=29200 rtt=104.1 ms

len=46 ip=172.16.47.27 ttl=59 DF id=0 sport=30927 flags=SA seq=5024 win=29200 rtt=109.2 ms

len=46 ip=172.16.47.27 ttl=59 DF id=0 sport=30927 flags=SA seq=5231 win=29200 rtt=109.2 ms

ທັນທີສາມາດເຮັດໃຫ້ການສັງເກດການທໍາອິດ. ການຕັດສິນໂດຍຕົວເລກລໍາດັບແລະເວລາ, ມັນເປັນທີ່ຊັດເຈນວ່ານີ້ບໍ່ແມ່ນຄວາມແອອັດຄັ້ງດຽວ. ຄວາມລ່າຊ້າມັກຈະສະສົມແລະຖືກປຸງແຕ່ງໃນທີ່ສຸດ.

ຕໍ່ໄປ, ພວກເຮົາຕ້ອງການຊອກຫາອົງປະກອບທີ່ອາດຈະກ່ຽວຂ້ອງກັບການເກີດຂື້ນຂອງຄວາມແອອັດ. ບາງທີເຫຼົ່ານີ້ແມ່ນບາງສ່ວນຂອງກົດລະບຽບ iptables ຫຼາຍຮ້ອຍຄົນໃນ NAT? ຫຼືມີບັນຫາໃດໆກັບ IPIP tunneling ໃນເຄືອຂ່າຍ? ວິທີຫນຶ່ງທີ່ຈະທົດສອບນີ້ແມ່ນການທົດສອບແຕ່ລະຂັ້ນຕອນຂອງລະບົບໂດຍການກໍາຈັດມັນ. ຈະເກີດຫຍັງຂຶ້ນຖ້າທ່ານເອົາເຫດຜົນ NAT ແລະໄຟວໍ, ປ່ອຍໃຫ້ພຽງແຕ່ສ່ວນ IPIP:

ໂຊກດີ, Linux ເຮັດໃຫ້ມັນງ່າຍຕໍ່ການເຂົ້າເຖິງຊັ້ນວາງ IP ໂດຍກົງຖ້າເຄື່ອງຢູ່ໃນເຄືອຂ່າຍດຽວກັນ:

theojulienne@kube-node-client ~ $ sudo hping3 10.125.20.64 -S -i u10000 | egrep --line-buffered 'rtt=[0-9]{3}.'

len=40 ip=10.125.20.64 ttl=64 DF id=0 sport=0 flags=RA seq=7346 win=0 rtt=127.3 ms

len=40 ip=10.125.20.64 ttl=64 DF id=0 sport=0 flags=RA seq=7347 win=0 rtt=117.3 ms

len=40 ip=10.125.20.64 ttl=64 DF id=0 sport=0 flags=RA seq=7348 win=0 rtt=107.2 ms

ພິຈາລະນາຈາກຜົນໄດ້ຮັບ, ບັນຫາຍັງຄົງຢູ່! ນີ້ບໍ່ລວມເອົາ iptables ແລະ NAT. ດັ່ງນັ້ນບັນຫາແມ່ນ TCP? ໃຫ້ເບິ່ງວ່າ ICMP ping ປົກກະຕິໄປແນວໃດ:

theojulienne@kube-node-client ~ $ sudo hping3 10.125.20.64 --icmp -i u10000 | egrep --line-buffered 'rtt=[0-9]{3}.'

len=28 ip=10.125.20.64 ttl=64 id=42594 icmp_seq=104 rtt=110.0 ms

len=28 ip=10.125.20.64 ttl=64 id=49448 icmp_seq=4022 rtt=141.3 ms

len=28 ip=10.125.20.64 ttl=64 id=49449 icmp_seq=4023 rtt=131.3 ms

len=28 ip=10.125.20.64 ttl=64 id=49450 icmp_seq=4024 rtt=121.2 ms

len=28 ip=10.125.20.64 ttl=64 id=49451 icmp_seq=4025 rtt=111.2 ms

len=28 ip=10.125.20.64 ttl=64 id=49452 icmp_seq=4026 rtt=101.1 ms

len=28 ip=10.125.20.64 ttl=64 id=50023 icmp_seq=4343 rtt=126.8 ms

len=28 ip=10.125.20.64 ttl=64 id=50024 icmp_seq=4344 rtt=116.8 ms

len=28 ip=10.125.20.64 ttl=64 id=50025 icmp_seq=4345 rtt=106.8 ms

len=28 ip=10.125.20.64 ttl=64 id=59727 icmp_seq=9836 rtt=106.1 ms

ຜົນໄດ້ຮັບສະແດງໃຫ້ເຫັນວ່າບັນຫາບໍ່ໄດ້ຫມົດໄປ. ບາງທີນີ້ແມ່ນອຸໂມງ IPIP? ຂໍ​ໃຫ້​ເຮັດ​ໃຫ້​ການ​ທົດ​ສອບ​ງ່າຍ​ຂຶ້ນ​ຕື່ມ​ອີກ​:

ທຸກແພັກເກັດຖືກສົ່ງລະຫວ່າງສອງເຈົ້າພາບນີ້ບໍ?

theojulienne@kube-node-client ~ $ sudo hping3 172.16.47.27 --icmp -i u10000 | egrep --line-buffered 'rtt=[0-9]{3}.'

len=46 ip=172.16.47.27 ttl=61 id=41127 icmp_seq=12564 rtt=140.9 ms

len=46 ip=172.16.47.27 ttl=61 id=41128 icmp_seq=12565 rtt=130.9 ms

len=46 ip=172.16.47.27 ttl=61 id=41129 icmp_seq=12566 rtt=120.8 ms

len=46 ip=172.16.47.27 ttl=61 id=41130 icmp_seq=12567 rtt=110.8 ms

len=46 ip=172.16.47.27 ttl=61 id=41131 icmp_seq=12568 rtt=100.7 ms

len=46 ip=172.16.47.27 ttl=61 id=9062 icmp_seq=31443 rtt=134.2 ms

len=46 ip=172.16.47.27 ttl=61 id=9063 icmp_seq=31444 rtt=124.2 ms

len=46 ip=172.16.47.27 ttl=61 id=9064 icmp_seq=31445 rtt=114.2 ms

len=46 ip=172.16.47.27 ttl=61 id=9065 icmp_seq=31446 rtt=104.2 ms

ພວກເຮົາໄດ້ເຮັດໃຫ້ສະຖານະການງ່າຍຂຶ້ນເປັນສອງຂໍ້ Kubernetes ທີ່ສົ່ງແພັກເກັດຕ່າງໆເຊິ່ງກັນແລະກັນ, ແມ່ນແຕ່ ICMP ping. ພວກເຂົາຍັງເຫັນ latency ຖ້າເຈົ້າພາບເປົ້າຫມາຍ "ບໍ່ດີ" (ບາງອັນຮ້າຍແຮງກວ່າຄົນອື່ນ).

ໃນປັດຈຸບັນຄໍາຖາມສຸດທ້າຍ: ເປັນຫຍັງການຊັກຊ້າພຽງແຕ່ເກີດຂື້ນໃນເຄື່ອງແມ່ຂ່າຍ kube-node? ແລະມັນເກີດຂຶ້ນເມື່ອ kube-node ເປັນຜູ້ສົ່ງຫຼືຜູ້ຮັບ? ໂຊກດີ, ນີ້ແມ່ນຂ້ອນຂ້າງງ່າຍທີ່ຈະຄິດອອກໂດຍການສົ່ງຊຸດຈາກເຈົ້າພາບນອກ Kubernetes, ແຕ່ກັບຜູ້ຮັບ "ບໍ່ດີ" ດຽວກັນ. ດັ່ງທີ່ທ່ານສາມາດເຫັນໄດ້, ບັນຫາບໍ່ໄດ້ຫາຍໄປ:

theojulienne@shell ~ $ sudo hping3 172.16.47.27 -p 9876 -S -i u10000 | egrep --line-buffered 'rtt=[0-9]{3}.'

len=46 ip=172.16.47.27 ttl=61 DF id=0 sport=9876 flags=RA seq=312 win=0 rtt=108.5 ms

len=46 ip=172.16.47.27 ttl=61 DF id=0 sport=9876 flags=RA seq=5903 win=0 rtt=119.4 ms

len=46 ip=172.16.47.27 ttl=61 DF id=0 sport=9876 flags=RA seq=6227 win=0 rtt=139.9 ms

len=46 ip=172.16.47.27 ttl=61 DF id=0 sport=9876 flags=RA seq=7929 win=0 rtt=131.2 ms

ຫຼັງຈາກນັ້ນພວກເຮົາຈະດໍາເນີນການຄໍາຮ້ອງຂໍດຽວກັນຈາກ kube-node ແຫຼ່ງກ່ອນຫນ້າໄປຫາໂຮດພາຍນອກ (ເຊິ່ງບໍ່ລວມໂຮດຕົ້ນສະບັບນັບຕັ້ງແຕ່ ping ປະກອບມີທັງອົງປະກອບ RX ແລະ TX):

theojulienne@kube-node-client ~ $ sudo hping3 172.16.33.44 -p 9876 -S -i u10000 | egrep --line-buffered 'rtt=[0-9]{3}.'
^C
--- 172.16.33.44 hping statistic ---
22352 packets transmitted, 22350 packets received, 1% packet loss
round-trip min/avg/max = 0.2/7.6/1010.6 ms

ໂດຍການກວດສອບການຈັບເວລາແພັກເກັດແພັກເກັດ, ພວກເຮົາໄດ້ຮັບຂໍ້ມູນເພີ່ມເຕີມບາງຢ່າງ. ໂດຍສະເພາະ, ຜູ້ສົ່ງ (ລຸ່ມ) ເຫັນເວລາຫມົດເວລານີ້, ແຕ່ຜູ້ຮັບ (ເທິງ) ບໍ່ໄດ້ - ເບິ່ງຖັນ Delta (ໃນວິນາທີ):

ນອກຈາກນັ້ນ, ຖ້າທ່ານເບິ່ງຄວາມແຕກຕ່າງໃນຄໍາສັ່ງຂອງຊຸດ TCP ແລະ ICMP (ໂດຍຕົວເລກລໍາດັບ) ໃນດ້ານຜູ້ຮັບ, ແພັກເກັດ ICMP ສະເຫມີມາຮອດໃນລໍາດັບດຽວກັນທີ່ພວກເຂົາຖືກສົ່ງໄປ, ແຕ່ມີເວລາທີ່ແຕກຕ່າງກັນ. ໃນເວລາດຽວກັນ, ແພັກເກັດ TCP ບາງຄັ້ງແຊກແຊງ, ແລະບາງສ່ວນຂອງພວກມັນຖືກຕິດ. ໂດຍສະເພາະ, ຖ້າທ່ານກວດເບິ່ງພອດຂອງແພັກເກັດ SYN, ພວກມັນຢູ່ໃນຄໍາສັ່ງຢູ່ຂ້າງຜູ້ສົ່ງ, ແຕ່ບໍ່ແມ່ນຢູ່ຂ້າງຜູ້ຮັບ.

ມີຄວາມແຕກຕ່າງກັນເລັກນ້ອຍໃນວິທີການ ບັດເຄືອຂ່າຍ ເຊີບເວີທີ່ທັນສະໄຫມ (ເຊັ່ນຢູ່ໃນສູນຂໍ້ມູນຂອງພວກເຮົາ) ຊຸດປະມວນຜົນທີ່ມີ TCP ຫຼື ICMP. ເມື່ອແພັກເກັດມາຮອດ, ອະແດບເຕີເຄືອຂ່າຍ "hashs ມັນຕໍ່ການເຊື່ອມຕໍ່", ນັ້ນແມ່ນ, ມັນພະຍາຍາມທໍາລາຍການເຊື່ອມຕໍ່ເປັນແຖວແລະສົ່ງແຕ່ລະແຖວໄປຫາແກນໂປເຊດເຊີແຍກຕ່າງຫາກ. ສໍາລັບ TCP, hash ນີ້ປະກອບມີທັງທີ່ຢູ່ IP ແຫຼ່ງແລະປາຍທາງແລະພອດ. ໃນຄໍາສັບຕ່າງໆອື່ນໆ, ການເຊື່ອມຕໍ່ແຕ່ລະແມ່ນ hashed (ທ່າແຮງ) ແຕກຕ່າງກັນ. ສໍາລັບ ICMP, ມີພຽງແຕ່ທີ່ຢູ່ IP ທີ່ຖືກ hashed, ເນື່ອງຈາກວ່າບໍ່ມີພອດ.

ການສັງເກດໃຫມ່ອີກອັນຫນຶ່ງ: ໃນໄລຍະເວລານີ້ພວກເຮົາເຫັນຄວາມລ່າຊ້າ ICMP ໃນການສື່ສານທັງຫມົດລະຫວ່າງສອງເຈົ້າພາບ, ແຕ່ TCP ບໍ່ໄດ້. ນີ້ບອກພວກເຮົາວ່າສາເຫດແມ່ນອາດຈະກ່ຽວຂ້ອງກັບ RX queue hashing: congestion ແມ່ນເກືອບແນ່ນອນໃນການປຸງແຕ່ງ RX packets, ບໍ່ແມ່ນການສົ່ງຄໍາຕອບ.

ນີ້ລົບລ້າງການສົ່ງຊອງຈາກບັນຊີລາຍຊື່ຂອງສາເຫດທີ່ເປັນໄປໄດ້. ຕອນນີ້ພວກເຮົາຮູ້ວ່າບັນຫາການປະມວນຜົນແພັກເກັດແມ່ນຢູ່ໃນດ້ານຮັບໃນບາງເຊີບເວີ kube-node.

ເຂົ້າໃຈການປະມວນຜົນແພັກເກັດໃນ Linux kernel

ເພື່ອເຂົ້າໃຈວ່າເປັນຫຍັງບັນຫາເກີດຂື້ນຢູ່ໃນເຄື່ອງຮັບໃນບາງເຄື່ອງແມ່ຂ່າຍ kube-node, ໃຫ້ພວກເຮົາເບິ່ງວ່າ Linux kernel ປະມວນຜົນແພັກເກັດແນວໃດ.

ກັບຄືນສູ່ການປະຕິບັດແບບດັ້ງເດີມທີ່ງ່າຍດາຍທີ່ສຸດ, ບັດເຄືອຂ່າຍໄດ້ຮັບແພັກເກັດແລະສົ່ງ ຂັດຂວາງ Linux kernel ທີ່ມີຊຸດທີ່ຕ້ອງໄດ້ຮັບການປຸງແຕ່ງ. kernel ຢຸດການເຮັດວຽກອື່ນໆ, ສະຫຼັບສະພາບການໄປຫາຕົວຈັດການຂັດຂວາງ, ປະມວນຜົນແພັກເກັດ, ແລະຫຼັງຈາກນັ້ນກັບຄືນໄປຫາວຽກງານປະຈຸບັນ.

ການສະຫຼັບສະພາບການນີ້ແມ່ນຊ້າ: ເວລາແພັກເກັດອາດບໍ່ສັງເກດເຫັນໄດ້ໃນບັດເຄືອຂ່າຍ 10Mbps ໃນຊຸມປີ 90, ແຕ່ໃນບັດ 10G ທີ່ທັນສະໄຫມທີ່ມີຄວາມໄວສູງສຸດ 15 ລ້ານແພັກເກັດຕໍ່ວິນາທີ, ແຕ່ລະຫຼັກຂອງເຊີບເວີແປດແກນນ້ອຍສາມາດລົບກວນໄດ້ຫຼາຍລ້ານຄົນ. ຂອງເທື່ອຕໍ່ວິນາທີ.

ເພື່ອບໍ່ໃຫ້ມີການຂັດຂວາງຢ່າງຕໍ່ເນື່ອງ, ເມື່ອຫລາຍປີກ່ອນ Linux ໄດ້ເພີ່ມ NAPI: Network API ທີ່ໄດເວີທີ່ທັນສະໄຫມທັງໝົດໃຊ້ເພື່ອປັບປຸງປະສິດທິພາບໃນຄວາມໄວສູງ. ຢູ່ທີ່ຄວາມໄວຕ່ໍາ kernel ຍັງໄດ້ຮັບການຂັດຂວາງຈາກບັດເຄືອຂ່າຍໃນແບບເກົ່າ. ເມື່ອແພັກເກັດພຽງພໍມາຮອດທີ່ເກີນຂອບເຂດ, kernel ປິດການທໍາງານຂັດຂວາງແລະແທນທີ່ຈະເລີ່ມ polling adapter ເຄືອຂ່າຍແລະເລືອກເອົາເຖິງ packets ເປັນ chunks. ການປຸງແຕ່ງແມ່ນປະຕິບັດໃນ softirq, ນັ້ນແມ່ນ, ໃນ ສະພາບການຂອງຊອບແວຂັດຂວາງ ຫຼັງ​ຈາກ​ການ​ໂທ​ລະ​ບົບ​ແລະ​ຮາດ​ແວ​ຂັດ​ຂວາງ​, ໃນ​ເວ​ລາ​ທີ່ kernel (ກົງ​ກັນ​ຂ້າມ​ກັບ​ພື້ນ​ທີ່​ຜູ້​ໃຊ້​) ແມ່ນ​ແລ້ວ​ແລ່ນ​.

ນີ້ໄວກວ່າຫຼາຍ, ແຕ່ເຮັດໃຫ້ເກີດບັນຫາທີ່ແຕກຕ່າງກັນ. ຖ້າມີແພັກເກັດຫຼາຍເກີນໄປ, ເວລາທັງຫມົດແມ່ນໃຊ້ເວລາໃນການປຸງແຕ່ງແພັກເກັດຈາກບັດເຄືອຂ່າຍ, ແລະຂະບວນການພື້ນທີ່ຂອງຜູ້ໃຊ້ບໍ່ມີເວລາທີ່ຈະຫວ່າງຄິວເຫຼົ່ານີ້ (ອ່ານຈາກການເຊື່ອມຕໍ່ TCP, ແລະອື່ນໆ). ໃນ​ທີ່​ສຸດ​ແຖວ​ຈະ​ເຕັມ​ໄປ​ແລະ​ພວກ​ເຮົາ​ເລີ່ມ​ຫຼຸດ​ລົງ​ຊອງ​. ໃນຄວາມພະຍາຍາມທີ່ຈະຊອກຫາຄວາມດຸ່ນດ່ຽງ, kernel ກໍານົດງົບປະມານສໍາລັບຈໍານວນສູງສຸດຂອງແພັກເກັດທີ່ຖືກປຸງແຕ່ງໃນສະພາບການ softirq. ເມື່ອງົບປະມານນີ້ເກີນ, ກະທູ້ແຍກຕ່າງຫາກແມ່ນປຸກ ksoftirqd (ທ່ານຈະເຫັນຫນຶ່ງໃນພວກມັນຢູ່ໃນ ps per core) ທີ່ຈັດການ softirqs ເຫຼົ່ານີ້ຢູ່ນອກເສັ້ນທາງ syscall / interrupt ປົກກະຕິ. ກະທູ້ນີ້ຖືກກໍານົດໂດຍໃຊ້ຕົວກໍານົດເວລາຂະບວນການມາດຕະຖານ, ເຊິ່ງພະຍາຍາມຈັດສັນຊັບພະຍາກອນຢ່າງຍຸດຕິທໍາ.

ມີການສຶກສາວິທີການ kernel ຂະບວນການຫຸ້ມຫໍ່, ທ່ານສາມາດເຫັນໄດ້ວ່າມີຄວາມເປັນໄປໄດ້ທີ່ແນ່ນອນຂອງ congestion. ຖ້າການໂທ softirq ໄດ້ຮັບຫນ້ອຍລົງເລື້ອຍໆ, ແພັກເກັດຈະຕ້ອງລໍຖ້າບາງເວລາທີ່ຈະດໍາເນີນການຢູ່ໃນແຖວ RX ໃນບັດເຄືອຂ່າຍ. ອັນນີ້ອາດເປັນຍ້ອນບາງວຽກປິດກັ້ນຫຼັກຂອງໂປເຊດເຊີ, ຫຼືອັນອື່ນແມ່ນປ້ອງກັນບໍ່ໃຫ້ຫຼັກເຮັດວຽກ softirq.

ຮັດແຄບການປຸງແຕ່ງລົງໄປຫາຫຼັກ ຫຼືວິທີການ

ການຊັກຊ້າຂອງ Softirq ແມ່ນພຽງແຕ່ການຄາດເດົາສໍາລັບໃນປັດຈຸບັນ. ແຕ່ມັນສົມເຫດສົມຜົນ, ແລະພວກເຮົາຮູ້ວ່າພວກເຮົາກໍາລັງເຫັນບາງສິ່ງບາງຢ່າງທີ່ຄ້າຍຄືກັນຫຼາຍ. ດັ່ງນັ້ນຂັ້ນຕອນຕໍ່ໄປແມ່ນເພື່ອຢືນຢັນທິດສະດີນີ້. ແລະຖ້າມັນຖືກຢືນຢັນ, ຫຼັງຈາກນັ້ນຊອກຫາເຫດຜົນສໍາລັບການຊັກຊ້າ.

ໃຫ້ກັບຄືນໄປຫາຊຸດຊ້າຂອງພວກເຮົາ:

len=46 ip=172.16.53.32 ttl=61 id=29573 icmp_seq=1953 rtt=99.3 ms

len=46 ip=172.16.53.32 ttl=61 id=29574 icmp_seq=1954 rtt=89.3 ms

len=46 ip=172.16.53.32 ttl=61 id=29575 icmp_seq=1955 rtt=79.2 ms

len=46 ip=172.16.53.32 ttl=61 id=29576 icmp_seq=1956 rtt=69.1 ms

len=46 ip=172.16.53.32 ttl=61 id=29577 icmp_seq=1957 rtt=59.1 ms

len=46 ip=172.16.53.32 ttl=61 id=29790 icmp_seq=2070 rtt=75.7 ms

len=46 ip=172.16.53.32 ttl=61 id=29791 icmp_seq=2071 rtt=65.6 ms

len=46 ip=172.16.53.32 ttl=61 id=29792 icmp_seq=2072 rtt=55.5 ms

ດັ່ງທີ່ໄດ້ສົນທະນາກ່ອນຫນ້ານີ້, ແພັກເກັດ ICMP ເຫຼົ່ານີ້ຖືກແຍກເຂົ້າໄປໃນແຖວ RX NIC ດຽວແລະຖືກປຸງແຕ່ງໂດຍ CPU core ດຽວ. ຖ້າພວກເຮົາຕ້ອງການເຂົ້າໃຈວ່າ Linux ເຮັດວຽກແນວໃດ, ມັນເປັນປະໂຫຍດທີ່ຈະຮູ້ວ່າບ່ອນໃດ (ກ່ຽວກັບ CPU core) ແລະວິທີການ (softirq, ksoftirqd) ແພກເກດເຫຼົ່ານີ້ຖືກປຸງແຕ່ງເພື່ອຕິດຕາມຂະບວນການ.

ໃນປັດຈຸບັນມັນເຖິງເວລາທີ່ຈະໃຊ້ເຄື່ອງມືທີ່ຊ່ວຍໃຫ້ທ່ານສາມາດຕິດຕາມ Linux kernel ໃນເວລາຈິງ. ທີ່ນີ້ພວກເຮົາໄດ້ນໍາໃຊ້ bcc. ຊຸດຂອງເຄື່ອງມືນີ້ຊ່ວຍໃຫ້ທ່ານສາມາດຂຽນໂປຼແກຼມ C ຂະຫນາດນ້ອຍທີ່ເຊື່ອມຕໍ່ຫນ້າທີ່ຂອງຕົນເອງຢູ່ໃນແກ່ນແລະ buffer ເຫດການເຂົ້າໄປໃນໂປແກຼມ Python ທີ່ມີພື້ນທີ່ຜູ້ໃຊ້ທີ່ສາມາດປຸງແຕ່ງພວກມັນແລະສົ່ງຜົນໄດ້ຮັບໃຫ້ທ່ານ. Hooking arbitrary functions in the kernel is a tricky business , but the utility is designed for the maximum security and is designed to track down the kind of production problems that are not easily reproduced in a test or development environment.

ແຜນການຢູ່ທີ່ນີ້ແມ່ນງ່າຍດາຍ: ພວກເຮົາຮູ້ວ່າ kernel ດໍາເນີນການ pings ICMP ເຫຼົ່ານີ້, ດັ່ງນັ້ນພວກເຮົາຈະໃສ່ hook ກ່ຽວກັບຟັງຊັນ kernel. icmp_echo, ເຊິ່ງຍອມຮັບຊຸດການຮ້ອງຂໍ ICMP echo ຂາເຂົ້າແລະເລີ່ມຕົ້ນການສົ່ງ ICMP echo ຕອບສະຫນອງ. ພວກເຮົາສາມາດກໍານົດແພັກເກັດໂດຍການເພີ່ມຈໍານວນ icmp_seq, ເຊິ່ງສະແດງໃຫ້ເຫັນ hping3 ສູງຂຶ້ນ.

ລະ​ຫັດ bcc script ເບິ່ງຄືວ່າສັບສົນ, ແຕ່ມັນບໍ່ເປັນຕາຢ້ານເທົ່າທີ່ມັນເບິ່ງຄືວ່າ. ຟັງຊັນ icmp_echo ຖ່າຍທອດ struct sk_buff *skb: ນີ້ແມ່ນຊຸດທີ່ມີ "ຄໍາຮ້ອງຂໍສຽງດັງ". ພວກເຮົາສາມາດຕິດຕາມມັນ, ດຶງອອກລໍາດັບ echo.sequence (ເຊິ່ງປຽບທຽບກັບ icmp_seq ໂດຍ hping3 выше), ແລະສົ່ງມັນໄປຫາພື້ນທີ່ຜູ້ໃຊ້. ມັນຍັງສະດວກໃນການບັນທຶກຊື່/id ຂອງຂະບວນການປະຈຸບັນ. ຂ້າງລຸ່ມນີ້ແມ່ນຜົນໄດ້ຮັບທີ່ພວກເຮົາເຫັນໂດຍກົງໃນຂະນະທີ່ kernel processes packets:

TGID PID PROCESS NAME ICMP_SEQ
0 0 swapper/11
770 0 swapper/0
11 771 swapper/0
0 11 swapper/772
0 0 swapper/11
773 0 prometheus 0
11 774 swapper/20041
20086 775 swapper/0
0 11 swapper/776
0 0 spokes-report-s 11

ມັນຄວນຈະສັງເກດເຫັນໃນທີ່ນີ້ວ່າໃນສະພາບການ softirq ຂະບວນການທີ່ໂທຫາລະບົບຈະປາກົດເປັນ "ຂະບວນການ" ໃນຕົວຈິງແລ້ວມັນເປັນແກ່ນທີ່ປະມວນຜົນແພັກເກັດຢ່າງປອດໄພໃນສະພາບການຂອງແກ່ນ.

ດ້ວຍເຄື່ອງມືນີ້, ພວກເຮົາສາມາດເຊື່ອມໂຍງຂະບວນການສະເພາະກັບຊຸດສະເພາະທີ່ສະແດງໃຫ້ເຫັນເຖິງການຊັກຊ້າ hping3. ໃຫ້ເຮັດໃຫ້ມັນງ່າຍດາຍ grep ກ່ຽວກັບການຈັບພາບນີ້ສໍາລັບຄ່າທີ່ແນ່ນອນ icmp_seq. ແພັກເກັດທີ່ກົງກັບຄ່າ icmp_seq ຂ້າງເທິງໄດ້ຖືກທຸງພ້ອມກັບ RTT ຂອງພວກເຮົາທີ່ພວກເຮົາສັງເກດເຫັນຂ້າງເທິງ (ໃນວົງເລັບແມ່ນຄ່າ RTT ຄາດວ່າຈະສໍາລັບແພັກເກັດທີ່ພວກເຮົາກັ່ນຕອງອອກເນື່ອງຈາກຄ່າ RTT ຫນ້ອຍກວ່າ 50ms):

TGID PID PROCESS NAME ICMP_SEQ ** RTT
--
10137 10436 cadvisor 1951
10137 10436 cadvisor 1952
76 76 ksoftirqd / 11 1953 ** 99ms
76 76 ksoftirqd / 11 1954 ** 89ms
76 76 ksoftirqd / 11 1955 ** 79ms
76 76 ksoftirqd / 11 1956 ** 69ms
76 76 ksoftirqd / 11 1957 ** 59ms
76 76 ksoftirqd/11 1958 ** (49ms)
76 76 ksoftirqd/11 1959 ** (39ms)
76 76 ksoftirqd/11 1960 ** (29ms)
76 76 ksoftirqd/11 1961 ** (19ms)
76 76 ksoftirqd/11 1962 ** (9ms)
--
10137 10436 cadvisor 2068
10137 10436 cadvisor 2069
76 76 ksoftirqd / 11 2070 ** 75ms
76 76 ksoftirqd / 11 2071 ** 65ms
76 76 ksoftirqd/11 2072 ** 55ms
76 76 ksoftirqd/11 2073 ** (45ms)
76 76 ksoftirqd/11 2074 ** (35ms)
76 76 ksoftirqd/11 2075 ** (25ms)
76 76 ksoftirqd/11 2076 ** (15ms)
76 76 ksoftirqd/11 2077 ** (5ms)

ຜົນໄດ້ຮັບບອກພວກເຮົາຫຼາຍຢ່າງ. ກ່ອນອື່ນ ໝົດ, ຊຸດທັງ ໝົດ ນີ້ຖືກປຸງແຕ່ງໂດຍສະພາບການ ksoftirqd/11. ນີ້ຫມາຍຄວາມວ່າສໍາລັບຄູ່ສະເພາະຂອງເຄື່ອງຈັກນີ້, ຊຸດ ICMP ໄດ້ຖືກ hashed ກັບຫຼັກ 11 ໃນຕອນທ້າຍຂອງການຮັບ. ພວກເຮົາຍັງເຫັນວ່າທຸກຄັ້ງທີ່ມີການຕິດຂັດ, ມີແພັກເກັດທີ່ຖືກປຸງແຕ່ງໃນສະພາບການຂອງລະບົບການໂທ. cadvisor... ຈາກນັ້ນ ksoftirqd ໃຊ້ ເວ ລາ ໃນ ໄລ ຍະ ວຽກ ງານ ແລະ ການ ປຸງ ແຕ່ງ ແຖວ ສະ ສົມ: ແທ້ ຈໍາ ນວນ ຂອງ ຊຸດ ທີ່ ໄດ້ ສະ ສົມ ຫຼັງ ຈາກ cadvisor.

ຄວາມຈິງທີ່ວ່າທັນທີກ່ອນທີ່ຈະເຮັດວຽກສະເຫມີ cadvisor, ຫມາຍເຖິງການມີສ່ວນຮ່ວມຂອງລາວໃນບັນຫາ. Ironically, ຈຸດປະສົງ cadvisor - "ວິເຄາະການນຳໃຊ້ຊັບພະຍາກອນ ແລະລັກສະນະປະສິດທິພາບຂອງບັນຈຸທີ່ແລ່ນ" ແທນທີ່ຈະເຮັດໃຫ້ເກີດບັນຫາປະສິດທິພາບນີ້.

ເຊັ່ນດຽວກັນກັບລັກສະນະອື່ນໆຂອງຕູ້ຄອນເທນເນີ, ເຫຼົ່ານີ້ແມ່ນເຄື່ອງມືທີ່ກ້າວຫນ້າສູງແລະຄາດວ່າຈະປະສົບກັບບັນຫາການປະຕິບັດພາຍໃຕ້ສະຖານະການທີ່ບໍ່ຄາດຄິດ.

cadvisor ເຮັດຫຍັງທີ່ເຮັດໃຫ້ແຖວແພັກເກັດຊ້າລົງ?

ດຽວນີ້ພວກເຮົາມີຄວາມເຂົ້າໃຈດີກ່ຽວກັບວິທີການ crash ເກີດຂື້ນ, ຂະບວນການໃດທີ່ເຮັດໃຫ້ເກີດມັນ, ແລະ CPU ໃດ. ພວກເຮົາເຫັນວ່າເນື່ອງຈາກການຂັດຂວາງຢ່າງຫນັກແຫນ້ນ, Linux kernel ບໍ່ມີເວລາທີ່ຈະກໍານົດເວລາ ksoftirqd. ແລະພວກເຮົາເຫັນວ່າແພັກເກັດຖືກປຸງແຕ່ງໃນສະພາບການ cadvisor. ມັນເປັນເຫດຜົນທີ່ຈະສົມມຸດວ່າ cadvisor ເປີດຕົວ syscall ຊ້າ, ຫຼັງຈາກນັ້ນແພັກເກັດທັງຫມົດທີ່ສະສົມໃນເວລານັ້ນຖືກປຸງແຕ່ງ:

ນີ້ແມ່ນທິດສະດີ, ແຕ່ຈະທົດສອບແນວໃດ? ສິ່ງທີ່ພວກເຮົາສາມາດເຮັດໄດ້ຄືການຕິດຕາມຫຼັກ CPU ຕະຫຼອດຂະບວນການນີ້, ຊອກຫາຈຸດທີ່ຈໍານວນແພັກເກັດເກີນງົບປະມານແລະ ksoftirqd ຖືກເອີ້ນ, ແລະຫຼັງຈາກນັ້ນເບິ່ງຄືນອີກເລັກນ້ອຍເພື່ອເບິ່ງສິ່ງທີ່ເຮັດວຽກຢູ່ໃນຫຼັກ CPU ກ່ອນຈຸດນັ້ນ. . ມັນຄ້າຍຄືກັບການ x-raying CPU ທຸກໆສອງສາມມິນລິວິນາທີ. ມັນຈະມີລັກສະນະຄ້າຍຄືນີ້:

ສະດວກ, ທັງຫມົດນີ້ສາມາດເຮັດໄດ້ດ້ວຍເຄື່ອງມືທີ່ມີຢູ່ແລ້ວ. ຍົກ​ຕົວ​ຢ່າງ, perf ບັນທຶກ ກວດເບິ່ງຫຼັກ CPU ທີ່ໃຫ້ມາໃນຄວາມຖີ່ທີ່ກຳນົດໄວ້ ແລະສາມາດສ້າງຕາຕະລາງການໂທໄປຫາລະບົບແລ່ນ, ລວມທັງພື້ນທີ່ຜູ້ໃຊ້ ແລະ kernel Linux. ທ່ານ​ສາ​ມາດ​ເອົາ​ການ​ບັນ​ທຶກ​ນີ້​ແລະ​ປຸງ​ແຕ່ງ​ມັນ​ໂດຍ​ໃຊ້​ຄວາມ​ຍາວ​ຂອງ​ສ້ອມ​ຂະ​ຫນາດ​ນ້ອຍ​ຂອງ​ໂຄງ​ການ​ FlameGraph ຈາກ Brendan Gregg, ເຊິ່ງຮັກສາຄໍາສັ່ງຂອງການຕິດຕາມ stack ໄດ້. ພວກ​ເຮົາ​ສາ​ມາດ​ບັນ​ທຶກ​ການ​ຕິດ​ຕາມ stack ແຖວ​ດຽວ​ໃນ​ທຸກໆ 1 ms, ແລະ​ຫຼັງ​ຈາກ​ນັ້ນ​ເນັ້ນ​ແລະ​ບັນ​ທຶກ​ຕົວ​ຢ່າງ 100 milliseconds ກ່ອນ​ທີ່​ຈະ​ມີ​ການ​ຕິດ​ຕາມ ksoftirqd:

# record 999 times a second, or every 1ms with some offset so not to align exactly with timers
sudo perf record -C 11 -g -F 999
# take that recording and make a simpler stack trace.
sudo perf script 2>/dev/null | ./FlameGraph/stackcollapse-perf-ordered.pl | grep ksoftir -B 100

ນີ້ແມ່ນຜົນໄດ້ຮັບ:

(сотни следов, которые выглядят похожими)

cadvisor;[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];entry_SYSCALL_64_after_swapgs;do_syscall_64;sys_read;vfs_read;seq_read;memcg_stat_show;mem_cgroup_nr_lru_pages;mem_cgroup_node_nr_lru_pages cadvisor;[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];entry_SYSCALL_64_after_swapgs;do_syscall_64;sys_read;vfs_read;seq_read;memcg_stat_show;mem_cgroup_nr_lru_pages;mem_cgroup_node_nr_lru_pages cadvisor;[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];entry_SYSCALL_64_after_swapgs;do_syscall_64;sys_read;vfs_read;seq_read;memcg_stat_show;mem_cgroup_iter cadvisor;[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];entry_SYSCALL_64_after_swapgs;do_syscall_64;sys_read;vfs_read;seq_read;memcg_stat_show;mem_cgroup_nr_lru_pages;mem_cgroup_node_nr_lru_pages cadvisor;[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];entry_SYSCALL_64_after_swapgs;do_syscall_64;sys_read;vfs_read;seq_read;memcg_stat_show;mem_cgroup_nr_lru_pages;mem_cgroup_node_nr_lru_pages ksoftirqd/11;ret_from_fork;kthread;kthread;smpboot_thread_fn;smpboot_thread_fn;run_ksoftirqd;__do_softirq;net_rx_action;ixgbe_poll;ixgbe_clean_rx_irq;napi_gro_receive;netif_receive_skb_internal;inet_gro_receive;bond_handle_frame;__netif_receive_skb_core;ip_rcv_finish;ip_rcv;ip_forward_finish;ip_forward;ip_finish_output;nf_iterate;ip_output;ip_finish_output2;__dev_queue_xmit;dev_hard_start_xmit;ipip_tunnel_xmit;ip_tunnel_xmit;iptunnel_xmit;ip_local_out;dst_output;__ip_local_out;nf_hook_slow;nf_iterate;nf_conntrack_in;generic_packet;ipt_do_table;set_match_v4;ip_set_test;hash_net4_kadt;ixgbe_xmit_frame_ring;swiotlb_dma_mapping_error;hash_net4_test ksoftirqd/11;ret_from_fork;kthread;kthread;smpboot_thread_fn;smpboot_thread_fn;run_ksoftirqd;__do_softirq;net_rx_action;gro_cell_poll;napi_gro_receive;netif_receive_skb_internal;inet_gro_receive;__netif_receive_skb_core;ip_rcv_finish;ip_rcv;ip_forward_finish;ip_forward;ip_finish_output;nf_iterate;ip_output;ip_finish_output2;__dev_queue_xmit;dev_hard_start_xmit;dev_queue_xmit_nit;packet_rcv;tpacket_rcv;sch_direct_xmit;validate_xmit_skb_list;validate_xmit_skb;netif_skb_features;ixgbe_xmit_frame_ring;swiotlb_dma_mapping_error;__dev_queue_xmit;dev_hard_start_xmit;__bpf_prog_run;__bpf_prog_run

ມີຫຼາຍສິ່ງຫຼາຍຢ່າງຢູ່ທີ່ນີ້, ແຕ່ສິ່ງທີ່ສໍາຄັນແມ່ນວ່າພວກເຮົາຊອກຫາຮູບແບບ "cadvisor ກ່ອນ ksoftirqd" ທີ່ພວກເຮົາໄດ້ເຫັນກ່ອນຫນ້ານີ້ໃນ ICMP tracer. ມັນຫມາຍຄວາມວ່າແນວໃດ?

ແຕ່ລະສາຍແມ່ນການຕິດຕາມ CPU ຢູ່ຈຸດສະເພາະໃນເວລາ. ແຕ່ລະການໂທລົງ stack ໃນສາຍແມ່ນແຍກອອກໂດຍ semicolon. ຢູ່ເຄິ່ງກາງຂອງເສັ້ນພວກເຮົາເຫັນ syscall ຖືກເອີ້ນວ່າ: read(): .... ;do_syscall_64;sys_read; .... ດັ່ງນັ້ນ cadvisor ໃຊ້ເວລາຫຼາຍໃນການໂທຫາລະບົບ read()ກ່ຽວຂ້ອງກັບຫນ້າທີ່ mem_cgroup_* (ດ້ານເທິງຂອງສາຍໂທ/ປາຍສາຍ).

ມັນບໍ່ສະດວກທີ່ຈະເຫັນໃນການຕິດຕາມການໂທວ່າແມ່ນຫຍັງແທ້ທີ່ກໍາລັງອ່ານ, ສະນັ້ນໃຫ້ພວກເຮົາດໍາເນີນການ strace ແລະໃຫ້ເບິ່ງສິ່ງທີ່ cadvisor ເຮັດແລະຊອກຫາລະບົບການໂທຍາວກວ່າ 100ms:

theojulienne@kube-node-bad ~ $ sudo strace -p 10137 -T -ff 2>&1 | egrep '<0.[1-9]'
[pid 10436] <... futex resumed> ) = 0 <0.156784>
[pid 10432] <... futex resumed> ) = 0 <0.258285>
[pid 10137] <... futex resumed> ) = 0 <0.678382>
[pid 10384] <... futex resumed> ) = 0 <0.762328>
[pid 10436] <... read resumed> "cache 154234880nrss 507904nrss_h"..., 4096) = 658 <0.179438>
[pid 10384] <... futex resumed> ) = 0 <0.104614>
[pid 10436] <... futex resumed> ) = 0 <0.175936>
[pid 10436] <... read resumed> "cache 0nrss 0nrss_huge 0nmapped_"..., 4096) = 577 <0.228091>
[pid 10427] <... read resumed> "cache 0nrss 0nrss_huge 0nmapped_"..., 4096) = 577 <0.207334>
[pid 10411] <... epoll_ctl resumed> ) = 0 <0.118113>
[pid 10382] <... pselect6 resumed> ) = 0 (Timeout) <0.117717>
[pid 10436] <... read resumed> "cache 154234880nrss 507904nrss_h"..., 4096) = 660 <0.159891>
[pid 10417] <... futex resumed> ) = 0 <0.917495>
[pid 10436] <... futex resumed> ) = 0 <0.208172>
[pid 10417] <... futex resumed> ) = 0 <0.190763>
[pid 10417] <... read resumed> "cache 0nrss 0nrss_huge 0nmapped_"..., 4096) = 576 <0.154442>

ດັ່ງທີ່ທ່ານອາດຈະຄາດຫວັງ, ພວກເຮົາເຫັນການໂທຊ້າຢູ່ທີ່ນີ້ read(). ຈາກເນື້ອໃນຂອງການດໍາເນີນງານອ່ານແລະສະພາບການ mem_cgroup ມັນເປັນທີ່ຊັດເຈນວ່າສິ່ງທ້າທາຍເຫຼົ່ານີ້ read() ອ້າງເຖິງໄຟລ໌ memory.stat, ເຊິ່ງສະແດງໃຫ້ເຫັນການນໍາໃຊ້ຫນ່ວຍຄວາມຈໍາແລະການຈໍາກັດ cgroup (ເຕັກໂນໂລຊີການແຍກຊັບພະຍາກອນຂອງ Docker). ເຄື່ອງມື cadvisor ສອບຖາມໄຟລ໌ນີ້ເພື່ອໃຫ້ໄດ້ຂໍ້ມູນການນໍາໃຊ້ຊັບພະຍາກອນສໍາລັບບັນຈຸ. ໃຫ້ກວດເບິ່ງວ່າມັນເປັນ kernel ຫຼື cadvisor ເຮັດບາງສິ່ງບາງຢ່າງທີ່ບໍ່ຄາດຄິດ:

theojulienne@kube-node-bad ~ $ time cat /sys/fs/cgroup/memory/memory.stat >/dev/null

real 0m0.153s
user 0m0.000s
sys 0m0.152s
theojulienne@kube-node-bad ~ $

ໃນປັດຈຸບັນພວກເຮົາສາມາດແຜ່ພັນ bug ແລະເຂົ້າໃຈວ່າ Linux kernel ກໍາລັງປະເຊີນກັບພະຍາດ.

ເປັນຫຍັງການດໍາເນີນການອ່ານຈຶ່ງຊ້າ?

ໃນຂັ້ນຕອນນີ້, ມັນງ່າຍຂຶ້ນຫຼາຍທີ່ຈະຊອກຫາຂໍ້ຄວາມຈາກຜູ້ໃຊ້ອື່ນໆກ່ຽວກັບບັນຫາທີ່ຄ້າຍຄືກັນ. ດັ່ງທີ່ມັນໄດ້ຫັນອອກ, ໃນຕົວຕິດຕາມ cadvisor bug ນີ້ໄດ້ຖືກລາຍງານເປັນ ບັນຫາການໃຊ້ CPU ຫຼາຍເກີນໄປ, ມັນເປັນພຽງແຕ່ວ່າບໍ່ມີໃຜສັງເກດເຫັນວ່າ latency ແມ່ນຍັງສະທ້ອນໃຫ້ເຫັນສຸ່ມຢູ່ໃນ stack ເຄືອຂ່າຍ. ມັນສັງເກດເຫັນຢ່າງແທ້ຈິງວ່າ cadvisor ໃຊ້ເວລາ CPU ຫຼາຍກວ່າທີ່ຄາດໄວ້, ແຕ່ນີ້ບໍ່ໄດ້ໃຫ້ຄວາມສໍາຄັນຫຼາຍ, ເນື່ອງຈາກວ່າເຄື່ອງແມ່ຂ່າຍຂອງພວກເຮົາມີຊັບພະຍາກອນ CPU ຫຼາຍ, ດັ່ງນັ້ນບັນຫາບໍ່ໄດ້ຖືກສຶກສາຢ່າງລະອຽດ.

ບັນຫາແມ່ນວ່າ cgroups ພິຈາລະນາການນໍາໃຊ້ຫນ່ວຍຄວາມຈໍາພາຍໃນ namespace (container). ເມື່ອຂະບວນການທັງຫມົດໃນການອອກ cgroup ນີ້, Docker ປ່ອຍ cgroup ຫນ່ວຍຄວາມຈໍາ. ຢ່າງໃດກໍຕາມ, "ຄວາມຊົງຈໍາ" ບໍ່ແມ່ນພຽງແຕ່ການປະມວນຜົນ. ເຖິງແມ່ນວ່າຫນ່ວຍຄວາມຈໍາຂອງຂະບວນການຕົວມັນເອງບໍ່ໄດ້ຖືກນໍາໃຊ້ອີກຕໍ່ໄປ, ປະກົດວ່າ kernel ຍັງກໍານົດເນື້ອຫາທີ່ເກັບໄວ້ໃນຖານຄວາມຈໍາ, ເຊັ່ນ: dentries ແລະ inodes (ໄດເລກະທໍລີແລະ metadata ຂອງໄຟລ໌), ເຊິ່ງຖືກເກັບໄວ້ໃນ cgroup ຫນ່ວຍຄວາມຈໍາ. ຈາກຄໍາອະທິບາຍບັນຫາ:

zombie cgroups: cgroups ທີ່ບໍ່ມີຂະບວນການແລະຖືກລຶບ, ແຕ່ຍັງມີຫນ່ວຍຄວາມຈໍາທີ່ຖືກຈັດສັນ (ໃນກໍລະນີຂອງຂ້ອຍ, ຈາກ cache dentry, ແຕ່ມັນຍັງສາມາດຈັດສັນຈາກ cache ຫນ້າຫຼື tmpfs).

ການກວດສອບຂອງ kernel ຂອງທຸກຫນ້າໃນ cache ເມື່ອປ່ອຍ cgroup ສາມາດຊ້າຫຼາຍ, ດັ່ງນັ້ນຂະບວນການຂີ້ກຽດຖືກເລືອກ: ລໍຖ້າຈົນກ່ວາຫນ້າເຫຼົ່ານີ້ຖືກຮ້ອງຂໍອີກເທື່ອຫນຶ່ງ, ແລະຫຼັງຈາກນັ້ນລ້າງ cgroup ເມື່ອຫນ່ວຍຄວາມຈໍາຕ້ອງການຕົວຈິງ. ຈົນກ່ວາຈຸດນີ້, cgroup ຍັງຖືກພິຈາລະນາໃນເວລາເກັບກໍາສະຖິຕິ.

ຈາກທັດສະນະການປະຕິບັດ, ພວກເຂົາເຈົ້າໄດ້ເສຍສະລະຄວາມຊົງຈໍາສໍາລັບການປະຕິບັດ: ເລັ່ງການທໍາຄວາມສະອາດເບື້ອງຕົ້ນໂດຍການປະໄວ້ບາງຫນ່ວຍຄວາມຈໍາຈາກຖານຄວາມຈໍາ. ນີ້ແມ່ນດີ. ເມື່ອ kernel ໃຊ້ຫນ່ວຍຄວາມຈໍາສຸດທ້າຍຂອງຖານຄວາມຈໍາ, cgroup ໄດ້ຖືກລຶບລ້າງໃນທີ່ສຸດ, ດັ່ງນັ້ນມັນບໍ່ສາມາດເອີ້ນວ່າ "ຮົ່ວ". ແຕ່ຫນ້າເສຍດາຍ, ການປະຕິບັດສະເພາະຂອງກົນໄກຄົ້ນຫາ memory.stat ໃນ kernel ເວີຊັ່ນນີ້ (4.9), ບວກກັບຈໍານວນຫນ່ວຍຄວາມຈໍາອັນໃຫຍ່ຫຼວງໃນເຄື່ອງແມ່ຂ່າຍຂອງພວກເຮົາ, ຫມາຍຄວາມວ່າມັນໃຊ້ເວລາດົນກວ່າທີ່ຈະຟື້ນຟູຂໍ້ມູນ cache ຫຼ້າສຸດແລະລ້າງ zombies cgroup.

ມັນ turns ໃຫ້ເຫັນວ່າບາງຂໍ້ຂອງພວກເຮົາມີ zombies cgroup ຫຼາຍດັ່ງນັ້ນການອ່ານແລະ latency ເກີນຫນຶ່ງວິນາທີ.

ການແກ້ໄຂສໍາລັບບັນຫາ cadvisor ແມ່ນການປົດປ່ອຍທັນທີທັນໃດ dentries / inodes cache ໃນທົ່ວລະບົບ, ເຊິ່ງທັນທີທັນໃດລົບລ້າງການອ່ານ latency ເຊັ່ນດຽວກັນກັບການ latency ເຄືອຂ່າຍໃນເຈົ້າພາບ, ນັບຕັ້ງແຕ່ການລ້າງ cache ຫັນຫນ້າ cgroup cache ແລະພວກເຂົາຍັງໄດ້ຮັບການປົດປ່ອຍ. ນີ້ບໍ່ແມ່ນການແກ້ໄຂ, ແຕ່ມັນຢືນຢັນສາເຫດຂອງບັນຫາ.

ມັນໄດ້ຫັນອອກວ່າໃນ kernel ຮຸ່ນໃຫມ່ (4.19+) ການປະຕິບັດການໂທໄດ້ຖືກປັບປຸງ memory.stat, ສະນັ້ນການສະຫຼັບກັບ kernel ນີ້ແກ້ໄຂບັນຫາ. ໃນຂະນະດຽວກັນ, ພວກເຮົາມີເຄື່ອງມືເພື່ອກວດຫາໂນດທີ່ມີບັນຫາຢູ່ໃນກຸ່ມ Kubernetes, ລະບາຍພວກມັນອອກຢ່າງສະຫງ່າງາມ ແລະປິດເປີດພວກມັນຄືນໃໝ່. ພວກເຮົາລວບລວມກຸ່ມທັງໝົດ, ພົບໂນດທີ່ມີເວລາແພັກເກັດສູງພໍ ແລະປິດເປີດພວກມັນຄືນໃໝ່. ນີ້ເຮັດໃຫ້ພວກເຮົາໃຊ້ເວລາເພື່ອປັບປຸງ OS ໃນເຄື່ອງແມ່ຂ່າຍທີ່ຍັງເຫຼືອ.

ເພື່ອສະຫຼຸບ

ເນື່ອງຈາກວ່າ bug ນີ້ຢຸດການປະມວນຜົນແຖວ RX NIC ເປັນເວລາຫຼາຍຮ້ອຍ milliseconds, ມັນພ້ອມກັນເຮັດໃຫ້ທັງສອງ latency ສູງໃນການເຊື່ອມຕໍ່ສັ້ນແລະ latency ກາງເຊື່ອມຕໍ່, ເຊັ່ນ: ລະຫວ່າງການຮ້ອງຂໍ MySQL ແລະຊຸດຕອບສະຫນອງ.

ຄວາມເຂົ້າໃຈແລະການຮັກສາການປະຕິບັດຂອງລະບົບພື້ນຖານທີ່ສຸດ, ເຊັ່ນ Kubernetes, ແມ່ນສໍາຄັນຕໍ່ຄວາມຫນ້າເຊື່ອຖືແລະຄວາມໄວຂອງການບໍລິການທັງຫມົດໂດຍອີງໃສ່ພວກມັນ. ທຸກລະບົບທີ່ທ່ານໃຊ້ປະໂຫຍດຈາກການປັບປຸງປະສິດທິພາບ Kubernetes.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com