10 izplatītākās kļūdas, lietojot Kubernetes

Piezīme. tulk.: Šī raksta autori ir inženieri no neliela Čehijas uzņēmuma pipetail. Viņiem izdevās salikt brīnišķīgu sarakstu ar [dažkārt banālām, bet tomēr] ļoti aktuālām problēmām un maldīgiem priekšstatiem saistībā ar Kubernetes klasteru darbību.

Kubernetes lietošanas gadu laikā esam strādājuši ar lielu skaitu klasteru (gan pārvaldītu, gan nepārvaldītu — GCP, AWS un Azure). Laika gaitā mēs sākām pamanīt, ka dažas kļūdas tiek pastāvīgi atkārtotas. Tomēr par to nav kauna: lielāko daļu no tiem esam izdarījuši paši!

Rakstā ir apkopotas biežāk sastopamās kļūdas, kā arī minēts, kā tās labot.

1. Resursi: pieprasījumi un ierobežojumi

Šis vienums noteikti ir pelnījis vislielāko uzmanību un pirmo vietu sarakstā.

CPU pieprasījums parasti vai nu vispār nav norādīts, vai arī ir ļoti zema vērtība (lai uz katra mezgla novietotu pēc iespējas vairāk pākstīm). Tādējādi mezgli kļūst pārslogoti. Augstas slodzes laikā mezgla apstrādes jauda tiek pilnībā izmantota, un konkrēta darba slodze saņem tikai to, ko tā "pieprasīja" CPU drosele. Tas palielina lietojumprogrammas latentumu, taimautus un citas nepatīkamas sekas. (Vairāk par to lasiet citā mūsu nesenajā tulkojumā: "CPU ierobežojumi un agresīva droseles Kubernetes"- apm. tulk.)

BestEffort (ārkārtīgi nē ieteicams):

resources: {}

Ļoti zems CPU pieprasījums (ārkārtīgi nē ieteicams):

   resources:
      Requests:
        cpu: "1m"

No otras puses, CPU ierobežojuma klātbūtne var izraisīt nepamatotu pulksteņa ciklu izlaišanu, pat ja mezgla procesors nav pilnībā noslogots. Atkal, tas var palielināt kavēšanos. Par parametru turpinās strīdi CPU CFS kvota Linux kodolā un CPU droselēšana atkarībā no iestatītajiem limitiem, kā arī CFS kvotas atspējošana... Ak, CPU ierobežojumi var radīt vairāk problēmu nekā atrisināt. Plašāku informāciju par to var atrast zemāk esošajā saitē.

Pārmērīga atlase (pārapņemšanās) atmiņas problēmas var izraisīt lielākas problēmas. CPU ierobežojuma sasniegšana nozīmē pulksteņa ciklu izlaišanu, savukārt atmiņas ierobežojuma sasniegšana nozīmē podziņa nogalināšanu. Vai esat kādreiz novērojuši OOMkill? Jā, tieši par to mēs runājam.

Vai vēlaties samazināt tā iespējamību? Nepārslogojiet atmiņu un izmantojiet garantēto QoS (pakalpojuma kvalitāti), iestatot atmiņas pieprasījuma ierobežojumu (kā tālāk esošajā piemērā). Vairāk par to lasiet sadaļā Heninga Džeikobsa prezentācijas (Zalando vadošais inženieris).

Pārsprāgstošs (lielāka iespēja tikt nogalinātam OOM):

   resources:
      requests:
        memory: "128Mi"
        cpu: "500m"
      limits:
        memory: "256Mi"
        cpu: 2

Garantētā:

   resources:
      requests:
        memory: "128Mi"
        cpu: 2
      limits:
        memory: "128Mi"
        cpu: 2

Kas potenciāli palīdzēs, veidojot resursus?

Ar metrika-serveris jūs varat redzēt pašreizējo CPU resursu patēriņu un atmiņas lietojumu pa podiem (un tajos esošajiem konteineriem). Visticamāk, jūs to jau izmantojat. Vienkārši palaidiet šādas komandas:

kubectl top pods
kubectl top pods --containers
kubectl top nodes

Tomēr tie parāda tikai pašreizējo lietojumu. Tas var sniegt jums aptuvenu priekšstatu par lieluma secību, bet galu galā jums tas būs nepieciešams metrikas izmaiņu vēsture laika gaitā (lai atbildētu uz tādiem jautājumiem kā: “Kāda bija maksimālā CPU slodze?”, “Kāda bija slodze vakar no rīta?” utt.). Šim nolūkam jūs varat izmantot Prometejs, DataDog un citi instrumenti. Viņi vienkārši iegūst metriku no metriku servera un saglabā tos, un lietotājs var tos vaicāt un attiecīgi uzzīmēt.

VerticalPodAutoscaler pieļauj automatizēt šo procesu. Tas izseko CPU un atmiņas lietojuma vēsturi un iestata jaunus pieprasījumus un ierobežojumus, pamatojoties uz šo informāciju.

Efektīva skaitļošanas jaudas izmantošana nav viegls uzdevums. Tas ir tāpat kā visu laiku spēlēt Tetris. Ja maksājat pārāk daudz par skaitļošanas jaudu ar zemu vidējo patēriņu (teiksim, ~10%), iesakām apskatīt produktus, kuru pamatā ir AWS Fargate vai Virtual Kubelet. Tie ir balstīti uz bezservera/pay-per-usage norēķinu modeli, kas šādos apstākļos var izrādīties lētāks.

2. Dzīvības un gatavības zondes

Pēc noklusējuma dzīvīguma un gatavības pārbaudes programmā Kubernetes nav iespējotas. Un dažreiz viņi aizmirst tos ieslēgt...

Bet kā citādi jūs varat sākt pakalpojuma restartēšanu fatālas kļūdas gadījumā? Un kā slodzes balansētājs zina, ka pods ir gatavs satiksmei? Vai arī tas spēj apkalpot lielāku trafiku?

Šie testi bieži tiek sajaukti viens ar otru:

• Dzīvīgums — “izdzīvojamības” pārbaude, kas atsāk podziņu, ja tā neizdodas;
• Gatavība — gatavības pārbaude, ja neizdodas, tas atvieno pod no Kubernetes pakalpojuma (to var pārbaudīt, izmantojot kubectl get endpoints), un satiksme uz to neierodas, kamēr nākamā pārbaude nav veiksmīgi pabeigta.

Abas šīs pārbaudes VEIKTS VISA PODAS DZĪVES CIKLA LAIKĀ. Tas ir ļoti svarīgi.

Izplatīts nepareizs uzskats ir tāds, ka gatavības zondes tiek palaistas tikai startēšanas laikā, lai balansētājs varētu zināt, ka pods ir gatavs (Ready) un var sākt apstrādāt trafiku. Tomēr šī ir tikai viena no to izmantošanas iespējām.

Vēl viena ir iespēja noskaidrot, ka satiksme uz pod ir pārmērīga un pārslogo to (vai pods veic resursietilpīgus aprēķinus). Šajā gadījumā palīdz gatavības pārbaude samaziniet pāksts slodzi un "atdzesējiet".. Veiksmīga gatavības pārbaudes pabeigšana nākotnē ļauj atkal palielināt slodzi uz pāksts. Šajā gadījumā (ja gatavības pārbaude neizdodas), dzīvīguma pārbaudes neveiksme būtu ļoti neproduktīva. Kāpēc restartēt ierīci, kas ir veselīga un smagi strādā?

Tāpēc dažos gadījumos ir labāk neveikt pārbaudes, nekā iespējot tās ar nepareizi konfigurētiem parametriem. Kā minēts iepriekš, ja dzīvīguma pārbaude kopijas gatavības pārbaude, tad jums ir lielas nepatikšanas. Iespējamā iespēja ir konfigurēt tikai gatavības pārbaudeUn bīstams dzīvīgums atstāt malā.

Abiem pārbaužu veidiem nevajadzētu neizdoties, ja neizdodas izplatīt parastās atkarības, pretējā gadījumā tas novedīs pie kaskādes (lavīnai līdzīgas) visu apgabalu atteices. Citiem vārdiem sakot, nekaitējiet sev.

3. LoadBalancer katram HTTP pakalpojumam

Visticamāk, jūsu klasterī ir HTTP pakalpojumi, kurus vēlaties pārsūtīt uz ārpasauli.

Ja atverat pakalpojumu kā type: LoadBalancer, tā kontrolieris (atkarībā no pakalpojumu sniedzēja) nodrošinās un vienosies par ārēju LoadBalancer (ne vienmēr darbojas L7, bet drīzāk pat L4), un tas var ietekmēt izmaksas (ārējā statiskā IPv4 adrese, skaitļošanas jauda, ​​norēķini par sekundi ), jo ir nepieciešams izveidot lielu skaitu šādu resursu.

Šajā gadījumā daudz loģiskāk ir izmantot vienu ārējo slodzes balansētāju, atverot pakalpojumus kā type: NodePort. Vai vēl labāk, izvērsiet kaut ko līdzīgu nginx-ingress-controller (Vai traefik), kurš būs vienīgais Mezglu ports galapunkts, kas saistīts ar ārējo slodzes balansētāju un maršrutēs trafiku klasterī, izmantojot iekļūšana-Kubernetes resursi.

Citi klastera iekšējie (mikro) pakalpojumi, kas mijiedarbojas viens ar otru, var “sazināties”, izmantojot tādus pakalpojumus kā ClusterIP un iebūvēts pakalpojumu atklāšanas mehānisms, izmantojot DNS. Vienkārši neizmantojiet viņu publisko DNS/IP, jo tas var ietekmēt latentumu un palielināt mākoņpakalpojumu izmaksas.

4. Klastera automātiskā mērogošana, neņemot vērā tā īpašības

Pievienojot mezglus klasterim un noņemot tos no tā, jums nevajadzētu paļauties uz dažiem pamata rādītājiem, piemēram, CPU lietojumu šajos mezglos. Pod plānošanā ir jāņem vērā daudzi ierobežojumiem, piemēram, pod/mezglu afinitāte, bojājumi un pielaides, resursu pieprasījumi, QoS utt. Izmantojot ārēju autoscaler, kas neņem vērā šīs nianses, var rasties problēmas.

Iedomājieties, ka ir jāieplāno noteikts pods, bet tiek pieprasīta/izjaukta visa pieejamā CPU jauda un pods iestrēgst stāvoklī Pending. Ārējais automātiskais mērogošanas līdzeklis redz vidējo pašreizējo CPU slodzi (nevis pieprasīto) un neuzsāk paplašināšanu (palielināt) - nepievieno vēl vienu mezglu. Rezultātā šī podziņa netiks ieplānota.

Šajā gadījumā apgrieztā mērogošana (pielāgots) — mezgla noņemšana no klastera vienmēr ir grūtāk īstenojama. Iedomājieties, ka jums ir stāvokļi (ar pievienotu pastāvīgo krātuvi). Pastāvīgi apjomi parasti pieder īpaša pieejamības zona un netiek replicēti reģionā. Tādējādi, ja ārējs automātiskais mērogošanas līdzeklis izdzēš mezglu ar šo aplikumu, plānotājs nevarēs ieplānot šo aplikumu citā mezglā, jo to var izdarīt tikai pieejamības zonā, kurā atrodas pastāvīgā krātuve. Pod būs iestrēdzis stāvoklī Pending.

Ļoti populārs Kubernetes kopienā klasteris-autoscaler. Tas darbojas klasterī, atbalsta API no galvenajiem mākoņpakalpojumu sniedzējiem, ņem vērā visus ierobežojumus un var mērogot iepriekšminētajos gadījumos. To var arī paplašināt, vienlaikus saglabājot visus noteiktos ierobežojumus, tādējādi ietaupot naudu (kas pretējā gadījumā tiktu tērēta neizmantotai jaudai).

5. IAM/RBAC iespēju neievērošana

Uzmanieties no IAM lietotāju izmantošanas ar pastāvīgiem noslēpumiem mašīnas un lietojumprogrammas. Organizējiet pagaidu piekļuvi, izmantojot lomas un pakalpojumu kontus (pakalpojumu konti).

Mēs bieži sastopamies ar faktu, ka piekļuves atslēgas (un noslēpumi) ir iekodētas lietojumprogrammas konfigurācijā, kā arī neievērojam noslēpumu rotāciju, neskatoties uz to, ka mums ir piekļuve mākoņa IAM. Ja nepieciešams, izmantojiet IAM lomas un pakalpojumu kontus, nevis lietotājus.

Aizmirstiet par kube2iam un pārejiet tieši uz pakalpojumu kontu IAM lomām (kā aprakstīts sadaļā tāda paša nosaukuma piezīme Štěpán Vraný):

apiVersion: v1
kind: ServiceAccount
metadata:
  annotations:
    eks.amazonaws.com/role-arn: arn:aws:iam::123456789012:role/my-app-role
  name: my-serviceaccount
  namespace: default

Viena anotācija. Nav tik grūti, vai ne?

Tāpat nepiešķiriet pakalpojumu kontiem un gadījumu profilu privilēģijas admin и cluster-adminja viņiem tas nav vajadzīgs. To ir nedaudz grūtāk ieviest, it īpaši RBAC K8, taču noteikti ir vērts pielikt pūles.

6. Nepaļaujieties uz automātisku anti-afinitāti pret pākstīm

Iedomājieties, ka jums ir trīs kādas izvietošanas kopijas mezglā. Mezgls nokrīt, un kopā ar to visas kopijas. Nepatīkama situācija, vai ne? Bet kāpēc visas kopijas atradās vienā mezglā? Vai Kubernetes nav paredzēts nodrošināt augstu pieejamību (HA)?!

Diemžēl Kubernetes plānotājs pēc savas iniciatīvas neatbilst atsevišķas pastāvēšanas noteikumiem (pretafinitāte) pākstīm. Tie ir skaidri jānorāda:

// опущено для краткости
      labels:
        app: zk
// опущено для краткости
      affinity:
        podAntiAffinity:
          requiredDuringSchedulingIgnoredDuringExecution:
            - labelSelector:
                matchExpressions:
                  - key: "app"
                    operator: In
                    values:
                    - zk
              topologyKey: "kubernetes.io/hostname"

Tas ir viss. Tagad podi tiks ieplānoti dažādos mezglos (šis nosacījums tiek pārbaudīts tikai plānošanas laikā, bet ne to darbības laikā - tātad requiredDuringSchedulingIgnoredDuringExecution).

Šeit mēs runājam par podAntiAffinity dažādos mezglos: topologyKey: "kubernetes.io/hostname", - nevis par dažādām pieejamības zonām. Lai ieviestu pilnvērtīgu HA, jums būs jāiedziļinās šajā tēmā.

7. PodDisruptionBudgets ignorēšana

Iedomājieties, ka jums ir Kubernetes klastera ražošanas slodze. Periodiski mezgli un klasteris ir jāatjaunina (vai jānoņem ekspluatācija). PodDisruptionBudget (PDB) ir kaut kas līdzīgs pakalpojumu garantijas līgumam starp klasteru administratoriem un lietotājiem.

PBP ļauj izvairīties no pakalpojumu pārtraukumiem, ko izraisa mezglu trūkums:

apiVersion: policy/v1beta1
kind: PodDisruptionBudget
metadata:
  name: zk-pdb
spec:
  minAvailable: 2
  selector:
    matchLabels:
      app: zookeeper

Šajā piemērā jūs kā klastera lietotājs paziņojat administratoriem: “Sveiki, man ir zoodārza pakalpojums, un neatkarīgi no tā, ko jūs darāt, es vēlētos, lai vienmēr būtu pieejamas vismaz divas šī pakalpojuma kopijas.”

Jūs varat lasīt vairāk par šo šeit.

8. Vairāki lietotāji vai vides kopējā klasterī

Kubernetes nosaukumvietas (nosaukumvietas) nenodrošina spēcīgu izolāciju.

Izplatīts nepareizs uzskats ir tāds, ka, ja vienā nosaukumvietā izvietojat neprod slodzi un citā nosaukumvietā, tad nekādā veidā neietekmēs viens otru... Tomēr noteiktu izolācijas līmeni var sasniegt, izmantojot resursu pieprasījumus/ierobežojumus, nosakot kvotas un iestatot priorityClasses. Zināmu “fizisku” izolāciju datu plaknē nodrošina afinitātes, pielaides, piesārņojumi (vai mezglu atlasītāji), taču šāda atdalīšana ir diezgan liela. grūti īstenot.

Tiem, kuriem vienā un tajā pašā klasterī ir jāapvieno abu veidu slodzes, būs jārisina sarežģītība. Ja šādas vajadzības nav, un jūs varat atļauties tādu vēl viens klasteris (teiksim, publiskā mākonī), tad labāk to darīt. Tādējādi tiks sasniegts daudz augstāks izolācijas līmenis.

9. ārējāTrafficPolicy: Cluster

Ļoti bieži mēs novērojam, ka visa datplūsma klasterī nāk caur tādu pakalpojumu kā NodePort, kuram ir iestatīta noklusējuma politika. externalTrafficPolicy: Cluster... Tas nozīmē, ka Mezglu ports ir atvērts katrā klastera mezglā, un jūs varat izmantot jebkuru no tiem, lai mijiedarbotos ar vēlamo pakalpojumu (podkopu).

Tajā pašā laikā reālie podi, kas saistīti ar iepriekš minēto NodePort pakalpojumu, parasti ir pieejami tikai noteiktā ierīcē šo mezglu apakškopa. Citiem vārdiem sakot, ja es izveidoju savienojumu ar mezglu, kuram nav vajadzīgā pod, tas pārsūtīs trafiku uz citu mezglu, pievienojot apiņu un latentuma palielināšana (ja mezgli atrodas dažādās pieejamības zonās/datu centros, latentums var būt diezgan augsts; turklāt palielināsies izejas trafika izmaksas).

No otras puses, ja noteiktam Kubernetes pakalpojumam ir iestatīta politika externalTrafficPolicy: Local, tad NodePort tiek atvērts tikai tajos mezglos, kur faktiski darbojas nepieciešamie podi. Lietojot ārējo slodzes balansētāju, kas pārbauda stāvokli (veselības pārbaude) galapunkti (kā tas darbojas AWS ELB), Viņš nosūtīs trafiku tikai uz nepieciešamajiem mezgliem, kas labvēlīgi ietekmēs kavēšanos, skaitļošanas vajadzības, izejas rēķinus (un veselais saprāts nosaka to pašu).

Pastāv liela iespēja, ka jūs jau izmantojat kaut ko līdzīgu traefik vai nginx-ingress-controller kā NodePort galapunktu (vai LoadBalancer, kas arī izmanto NodePort), lai maršrutētu HTTP ieejas trafiku, un šīs opcijas iestatīšana var ievērojami samazināt šādu pieprasījumu latentumu.

В šī publikācija Jūs varat uzzināt vairāk par ārējo satiksmes politiku, tās priekšrocībām un trūkumiem.

10. Nepiesaistīties kopām un ļaunprātīgi neizmantot vadības plakni

Iepriekš bija ierasts serverus saukt īstajos vārdos: Antons, HAL9000 un Colossus... Šodien tie ir aizstāti ar nejauši ģenerētiem identifikatoriem. Tomēr ieradums saglabājās, un tagad īpašvārdi nonāk klasteros.

Tipisks stāsts (pamatojoties uz patiesiem notikumiem): viss sākās ar koncepcijas pierādījumu, tāpēc klasterim bija lepns nosaukums testēšana… Ir pagājuši gadi, un to JOPROJĀM izmanto ražošanā, un visi baidās tam pieskarties.

Nav nekā patīkama, ja klasteri pārvēršas par mājdzīvniekiem, tāpēc mēs iesakām tos periodiski noņemt, kamēr trenējas. avārijas seku novēršana (tas palīdzēs haosa inženierija — apm. tulk.). Turklāt nenāktu par ļaunu strādāt pie kontroles slāņa (kontroles plakne). Baidīties viņam pieskarties nav laba zīme. utt miris? Puiši, jums tiešām ir problēmas!

No otras puses, jums nevajadzētu aizrauties ar manipulācijām ar to. Ar laiku kontroles slānis var kļūt lēns. Visticamāk, tas ir saistīts ar lielu objektu skaitu, kas tiek izveidoti bez to pagriešanas (izplatīta situācija, izmantojot Helm ar noklusējuma iestatījumiem, tāpēc tā stāvoklis konfigurācijas kartēs/noslēpumos netiek atjaunināts - rezultātā uzkrājas tūkstošiem objektu vadības slānis) vai ar pastāvīgu kube-api objektu rediģēšanu (automātiskai mērogošanai, CI/CD, uzraudzībai, notikumu žurnāliem, kontrolleriem utt.).

Turklāt mēs iesakām pārbaudīt SLA/SLO līgumus ar pārvaldīto Kubernetes pakalpojumu sniedzēju un pievērst uzmanību garantijām. Pārdevējs var garantēt kontroles slāņa pieejamību (vai tā apakškomponenti), bet ne p99 aizkave, kad tai nosūtāt pieprasījumus. Citiem vārdiem sakot, jūs varat iekļūt kubectl get nodes, un saņem atbildi tikai pēc 10 minūtēm, un tas nebūs pakalpojuma līguma noteikumu pārkāpums.

11. Bonuss: jaunākā taga izmantošana

Bet šī jau ir klasika. Pēdējā laikā ar šo paņēmienu sastopamies retāk, jo daudzi, mācījušies no rūgtās pieredzes, ir pārtraukuši lietot birku :latest un sāka piespraust versijas. Urrā!

ECR saglabā attēlu tagu nemainīgumu; Mēs iesakām iepazīties ar šo ievērojamo funkciju.

Kopsavilkums

Negaidiet, ka viss darbosies vienas nakts laikā: Kubernetes nav panaceja. Slikta lietotne tāds paliks pat Kubernetes (un tas, iespējams, pasliktināsies). Neuzmanība radīs pārmērīgu sarežģītību, lēnu un saspringtu kontroles slāņa darbu. Turklāt jūs riskējat palikt bez avārijas seku novēršanas stratēģijas. Negaidiet, ka Kubernetes nodrošinās izolāciju un augstu pieejamību. Pavadiet kādu laiku, lai jūsu lietojumprogramma būtu patiesi mākonī.

Jūs varat iepazīties ar dažādu komandu neveiksmīgo pieredzi šis stāstu krājums autors Hennings Džeikobss.

Tie, kas vēlas papildināt šajā rakstā sniegto kļūdu sarakstu, var sazināties ar mums Twitter (@MarekBartik, @MstrsObserver).

PS no tulka

Lasi arī mūsu emuārā:

• «Kubernetes klasteru projektēšana: cik daudz to vajadzētu būt?";
• «Kubernetes drošības ABC: autentifikācija, autorizācija, audits";
• «Automērogošana un resursu pārvaldība Kubernetes"(apskats un video reportāža);
• «ConfigMaps programmā Kubernetes: nianses, par kurām ir vērts zināt'.

Avots: www.habr.com