🥇Deviņi padomi, kā uzlabot Kubernetes veiktspēju

Sveiki visiem! Mani sauc Oļegs Sidorenkovs, strādāju DomClick par infrastruktūras komandas vadītāju. Kubik ražošanā izmantojam vairāk nekā trīs gadus, un šajā laikā ar to esam piedzīvojuši daudz dažādu interesantu mirkļu. Šodien es jums pastāstīšu, kā, izmantojot pareizo pieeju, jūs varat izspiest vēl vairāk veiktspējas no vaniļas Kubernetes savam klasterim. Uzmanibu gatavibu starts!

Jūs visi ļoti labi zināt, ka Kubernetes ir mērogojama atvērtā pirmkoda sistēma konteineru orķestrēšanai; labi, vai 5 binārie faili, kas darbojas maģiski, pārvaldot jūsu mikropakalpojumu dzīves ciklu servera vidē. Turklāt tas ir diezgan elastīgs rīks, ko var salikt kā Lego, lai maksimāli pielāgotu dažādiem uzdevumiem.

Un šķiet, ka viss ir kārtībā: iemet serverus klasterī kā malku kurtuvē, un tu nezināsi nekādas bēdas. Bet, ja esat par vidi, jūs domājat: "Kā es varu noturēt uguni un saudzēt mežu?" Citiem vārdiem sakot, kā atrast veidus, kā uzlabot infrastruktūru un samazināt izmaksas.

1. Pārraugiet komandas un lietojumprogrammu resursus

Viena no visizplatītākajām, bet efektīvākajām metodēm ir pieprasījumu/limitu ieviešana. Sadaliet lietojumprogrammas pēc nosaukumvietām un nosaukumvietas pēc izstrādes komandām. Pirms izvietošanas iestatiet lietojumprogrammas vērtības procesora laika, atmiņas un īslaicīgas krātuves patēriņam.

resources:
   requests:
     memory: 2Gi
     cpu: 250m
   limits:
     memory: 4Gi
     cpu: 500m

Izmantojot pieredzi, mēs nonācām pie secinājuma: jums nevajadzētu palielināt pieprasījumus no limitiem vairāk nekā divas reizes. Klastera apjoms tiek aprēķināts, pamatojoties uz pieprasījumiem, un, ja lietojumprogrammām piešķirat resursu atšķirību, piemēram, 5-10 reizes, tad iedomājieties, kas notiks ar jūsu mezglu, kad tas būs piepildīts ar pākstīm un pēkšņi saņems slodzi. Nekas labs. Vismaz, droseles un maksimums, jūs atvadīsities no darbinieka un saņemsiet ciklisku slodzi uz atlikušajiem mezgliem pēc tam, kad podi sāks kustēties.

Turklāt ar palīdzību limitranges Sākumā varat iestatīt konteinera resursu vērtības - minimālo, maksimālo un noklusējuma vērtību:

➜  ~ kubectl describe limitranges --namespace ops
Name:       limit-range
Namespace:  ops
Type        Resource           Min   Max   Default Request  Default Limit  Max Limit/Request Ratio
----        --------           ---   ---   ---------------  -------------  -----------------------
Container   cpu                50m   10    100m             100m           2
Container   ephemeral-storage  12Mi  8Gi   128Mi            4Gi            -
Container   memory             64Mi  40Gi  128Mi            128Mi          2

Neaizmirstiet ierobežot nosaukumvietas resursus, lai viena komanda nevarētu pārņemt visus klastera resursus:

➜  ~ kubectl describe resourcequotas --namespace ops
Name:                   resource-quota
Namespace:              ops
Resource                Used          Hard
--------                ----          ----
limits.cpu              77250m        80
limits.memory           124814367488  150Gi
pods                    31            45
requests.cpu            53850m        80
requests.memory         75613234944   150Gi
services                26            50
services.loadbalancers  0             0
services.nodeports      0             0

Kā redzams no apraksta resourcequotas, ja operācijas komanda vēlas izvietot apvidus, kas patērēs vēl 10 CPU, plānotājs to neatļaus un parādīs kļūdu:

Error creating: pods "nginx-proxy-9967d8d78-nh4fs" is forbidden: exceeded quota: resource-quota, requested: limits.cpu=5,requests.cpu=5, used: limits.cpu=77250m,requests.cpu=53850m, limited: limits.cpu=10,requests.cpu=10

Lai atrisinātu šādu problēmu, varat uzrakstīt rīku, piemēram, patīk šis, kas spēj uzglabāt un izmantot komandu stāvokļa resursus.

2. Izvēlieties optimālo failu krātuvi

Šeit es gribētu pieskarties tēmai par noturīgiem sējumiem un Kubernetes darbinieku mezglu diska apakšsistēmai. Ceru, ka ražošanā cietajā diskā esošo “Cube” neviens neizmanto, bet reizēm ar parasto SSD vairs nepietiek. Mēs saskārāmies ar problēmu, kad žurnāli iznīcināja disku I/O darbību dēļ, un nav daudz risinājumu:

Izmantojiet augstas veiktspējas SSD vai pārslēdzieties uz NVMe (ja pārvaldāt savu aparatūru).
Samaziniet reģistrēšanas līmeni.
Veiciet “gudru” to pākstīm, kas izvaro disku, balansēšanu (podAntiAffinity).

Iepriekš redzamajā ekrānā ir parādīts, kas notiek diskā zem nginx-ingress-controller, kad ir iespējota access_logs reģistrēšana (~12 tūkstoši žurnālu/s). Šis nosacījums, protams, var izraisīt visu šī mezgla lietojumprogrammu degradāciju.

Kas attiecas uz PV, ak, neesmu visu izmēģinājis sugas Pastāvīgi sējumi. Izmantojiet sev piemērotāko iespēju. Vēsturiski mūsu valstī ir gadījies, ka nelielai daļai servisu ir nepieciešami RWX apjomi, un jau sen viņi šim uzdevumam sāka izmantot NFS krātuvi. Lēti un... pietiekami. Protams, viņš un es ēdām sūdus - svētī jūs, bet mēs iemācījāmies to noregulēt, un mana galva vairs nesāp. Un, ja iespējams, pārejiet uz S3 objektu krātuvi.

3. Apkopojiet optimizētus attēlus

Vislabāk ir izmantot konteineram optimizētus attēlus, lai Kubernetes varētu tos ātrāk ienest un izpildīt efektīvāk.

Optimizēts nozīmē, ka attēli:

satur tikai vienu lietojumprogrammu vai veic tikai vienu funkciju;
mazs izmērs, jo lielie attēli tīklā tiek pārraidīti sliktāk;
ir veselības un gatavības parametri, kas ļauj Kubernetes rīkoties dīkstāves gadījumā;
izmantojiet konteineriem draudzīgas operētājsistēmas (piemēram, Alpine vai CoreOS), kas ir izturīgākas pret konfigurācijas kļūdām;
izmantojiet vairākpakāpju būvējumus, lai varētu izvietot tikai apkopotas lietojumprogrammas, nevis pievienotos avotus.

Ir daudz rīku un pakalpojumu, kas ļauj pārbaudīt un optimizēt attēlus lidojuma laikā. Ir svarīgi tos vienmēr atjaunināt un pārbaudīt, lai nodrošinātu drošību. Rezultātā jūs iegūstat:

Samazināta tīkla slodze visā klasterī.
Samazina konteinera palaišanas laiku.
Mazāks visa Docker reģistra izmērs.

4. Izmantojiet DNS kešatmiņu

Ja mēs runājam par lielām slodzēm, tad bez klastera DNS sistēmas noregulēšanas dzīve ir diezgan draņķīga. Savulaik Kubernetes izstrādātāji atbalstīja savu kube-dns risinājumu. Tas tika ieviests arī šeit, taču šī programmatūra nebija īpaši noregulēta un neradīja nepieciešamo veiktspēju, lai gan šķita, ka tas ir vienkāršs uzdevums. Tad parādījās coredns, uz kuru mēs pārgājām, un mums nebija bēdu; vēlāk tas kļuva par noklusējuma DNS pakalpojumu K8s. Kādā brīdī DNS sistēmai izaugām līdz 40 tūkstošiem rps, un arī šis risinājums kļuva nepietiekams. Bet, par laimi, iznāca Nodelocaldns, aka node local cache, aka NodeLocal DNSCache.

Kāpēc mēs to izmantojam? Linux kodolā ir kļūda, kas, ja vairāki izsaukumi, izmantojot conntrack NAT, izmantojot UDP, rada sacensību nosacījumu ierakstiem conntrack tabulās, un tiek zaudēta daļa trafika caur NAT (katrs brauciens caur pakalpojumu ir NAT). Nodelocaldns atrisina šo problēmu, atbrīvojoties no NAT un jauninot savienojumu ar TCP uz augšupstraumes DNS, kā arī lokāli saglabājot kešatmiņu augšupējās DNS vaicājumos (tostarp īsu 5 sekunžu negatīvo kešatmiņu).

5. Automātiski mērogojiet pākstis horizontāli un vertikāli

Vai varat ar pārliecību teikt, ka visi jūsu mikropakalpojumi ir gatavi slodzes palielināšanai divas līdz trīs reizes? Kā pareizi piešķirt resursus savām lietojumprogrammām? Dažu bloku uzturēšana, kas pārsniedz darba slodzi, var būt lieki, taču, turot tos kopā, pastāv dīkstāves risks, ko izraisa pēkšņa pakalpojuma trafika palielināšanās. Tādi pakalpojumi kā Horizontal Pod Autoscaler и Vertikālais pods Autoscaler.

BPN ļauj automātiski palielināt pieprasījumus/ierobežojumus jūsu podā esošajiem konteineriem atkarībā no faktiskā lietojuma. Kā tas var būt noderīgs? Ja jums ir podi, kurus kāda iemesla dēļ nevar mērogot horizontāli (kas nav pilnīgi uzticams), varat mēģināt uzticēt tā resursu izmaiņas VPA. Tā funkcija ir ieteikumu sistēma, kuras pamatā ir vēsturiskie un pašreizējie dati no metrikas servera, tādēļ, ja nevēlaties automātiski mainīt pieprasījumus/ierobežojumus, varat vienkārši pārraudzīt ieteicamos resursus saviem konteineriem un optimizēt iestatījumus, lai ietaupītu CPU un atmiņa klasterī.

Attēls ņemts no https://levelup.gitconnected.com/kubernetes-autoscaling-101-cluster-autoscaler-horizontal-pod-autoscaler-and-vertical-pod-2a441d9ad231

Kubernetes plānotājs vienmēr ir balstīts uz pieprasījumiem. Neatkarīgi no tā, kādu vērtību jūs tur ievietojat, plānotājs meklēs piemērotu mezglu, pamatojoties uz to. Robežvērtības ir nepieciešamas, lai kubelets saprastu, kad gāzēt vai nogalināt pāksti. Un tā kā vienīgais svarīgais parametrs ir pieprasījumu vērtība, VPA darbosies ar to. Ikreiz, kad mērogojat lietojumprogrammu vertikāli, jūs definējat, kādiem pieprasījumiem jābūt. Kas tad notiks ar robežām? Arī šis parametrs tiks proporcionāli mērogots.

Piemēram, šeit ir parastie pod iestatījumi:

resources:
   requests:
     memory: 250Mi
     cpu: 200m
   limits:
     memory: 500Mi
     cpu: 350m

Ieteikumu programma nosaka, ka jūsu lietojumprogrammai ir nepieciešams 300 m CPU un 500 Mi, lai tā darbotos pareizi. Jūs saņemsiet šādus iestatījumus:

resources:
   requests:
     memory: 500Mi
     cpu: 300m
   limits:
     memory: 1000Mi
     cpu: 525m

Kā minēts iepriekš, šī ir proporcionāla mērogošana, pamatojoties uz pieprasījumu/ierobežojumu attiecību manifestā:

Centrālais procesors: 200 m → 300 m: attiecība 1:1.75;
Atmiņa: 250Mi → 500Mi: attiecība 1:2.

Attiecībā HPA, tad darbības mehānisms ir pārskatāmāks. Metrika, piemēram, centrālais procesors un atmiņa, tiek ierobežota, un, ja visu reprodukciju vidējais rādītājs pārsniedz slieksni, lietojumprogramma tiek mērogota par +1 apakšpunktu, līdz vērtība nokrītas zem sliekšņa vai tiek sasniegts maksimālais reprodukciju skaits.

Attēls ņemts no https://levelup.gitconnected.com/kubernetes-autoscaling-101-cluster-autoscaler-horizontal-pod-autoscaler-and-vertical-pod-2a441d9ad231

Papildus parastajiem rādītājiem, piemēram, centrālajam procesoram un atmiņai, varat iestatīt sliekšņus saviem Prometheus pielāgotajiem rādītājiem un strādāt ar tiem, ja uzskatāt, ka tā ir visprecīzākā norāde par to, kad mērogot lietojumprogrammu. Kad lietojumprogramma stabilizējas zem noteiktā metrikas sliekšņa, HPA sāks samazināt aplikumu skaitu līdz minimālajam kopiju skaitam vai līdz slodze sasniegs norādīto slieksni.

6. Neaizmirstiet par Node Affinity un Pod Affinity

Ne visi mezgli darbojas ar vienu un to pašu aparatūru, un ne visiem podiem ir jāpalaiž skaitļošanas ietilpīgas lietojumprogrammas. Kubernetes ļauj iestatīt mezglu un podiņu specializāciju, izmantojot Mezgla afinitāte и Pod Afinity.

Ja jums ir mezgli, kas ir piemēroti skaitļošanas ietilpīgām darbībām, tad, lai nodrošinātu maksimālu efektivitāti, labāk ir piesaistīt lietojumprogrammas attiecīgajiem mezgliem. Lai to izdarītu, izmantojiet nodeSelector ar mezgla etiķeti.

Pieņemsim, ka jums ir divi mezgli: viens ar CPUType=HIGHFREQ un liels skaits ātro kodolu, cits ar MemoryType=HIGHMEMORY vairāk atmiņas un ātrāka veiktspēja. Vienkāršākais veids ir izvietošanu piešķirt mezglam HIGHFREQpievienojot sadaļai spec šis atlasītājs:

…
nodeSelector:
	CPUType: HIGHFREQ

Dārgāks un specifiskāks veids, kā to izdarīt, ir izmantot nodeAffinity laukā affinity razdela spec. Ir divas iespējas:

requiredDuringSchedulingIgnoredDuringExecution: cietais iestatījums (plānotājs izvietos aplikumus tikai noteiktos mezglos (un nekur citur));
preferredDuringSchedulingIgnoredDuringExecution: mīkstais iestatījums (plānotājs mēģinās izvietot konkrētus mezglus, un, ja tas neizdodas, tas mēģinās izvietot nākamo pieejamo mezglu).

Varat norādīt konkrētu sintaksi mezglu etiķešu pārvaldībai, piemēram, In, NotIn, Exists, DoesNotExist, Gt vai Lt. Tomēr atcerieties, ka sarežģītas metodes garos etiķešu sarakstos palēninās lēmumu pieņemšanu kritiskās situācijās. Citiem vārdiem sakot, rīkojieties vienkārši.

Kā minēts iepriekš, Kubernetes ļauj iestatīt pašreizējo pākstu afinitāti. Tas nozīmē, ka varat pārliecināties, ka noteikti podi darbojas kopā ar citiem podiem tajā pašā pieejamības zonā (attiecas uz mākoņiem) vai mezgliem.

В podAffinity robežas affinity razdela spec ir pieejami tie paši lauki kā gadījumā nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution и preferredDuringSchedulingIgnoredDuringExecution. Vienīgā atšķirība ir tā matchExpressions saistīs aplikumus ar mezglu, kurā jau darbojas pods ar šo etiķeti.

Kubernetes piedāvā arī lauku podAntiAffinity, kas, gluži pretēji, nesaista pāksti ar mezglu ar specifiskiem pākstiem.

Par izteicieniem nodeAffinity Var dot to pašu padomu: mēģiniet saglabāt noteikumus vienkāršus un loģiskus, nemēģiniet pārslogot pod specifikāciju ar sarežģītu noteikumu kopumu. Ir ļoti vienkārši izveidot noteikumu, kas neatbilst klastera nosacījumiem, radot nevajadzīgu slodzi plānotājam un samazinot kopējo veiktspēju.

7. Bojājumi un pielaides

Ir vēl viens veids, kā pārvaldīt plānotāju. Ja jums ir liels klasteris ar simtiem mezglu un tūkstošiem mikropakalpojumu, ir ļoti grūti neļaut noteiktos mezglos mitināt noteiktus pākstis.

Sasmērēšanās mehānisms — aizliedzošie noteikumi — palīdz šajā jautājumā. Piemēram, noteiktos scenārijos varat aizliegt noteiktiem mezgliem palaist podziņus. Lai piemērotu piesārņojumu konkrētam mezglam, ir jāizmanto opcija taint in kubectl. Norādiet atslēgu un vērtību un pēc tam sabojājiet NoSchedule vai NoExecute:

$ kubectl taint nodes node10 node-role.kubernetes.io/ingress=true:NoSchedule

Ir arī vērts atzīmēt, ka bojājuma mehānisms atbalsta trīs galvenos efektus: NoSchedule, NoExecute и PreferNoSchedule.

NoSchedule nozīmē, ka pagaidām pod specifikācijā atbilstoša ieraksta nebūs tolerations, to nevarēs izvietot mezglā (šajā piemērā node10).
PreferNoSchedule - vienkāršota versija NoSchedule. Šajā gadījumā plānotājs mēģinās nepiešķirt aplikumus, kuriem nav atbilstoša ieraksta tolerations katram mezglam, taču tas nav stingrs ierobežojums. Ja klasterī nav resursu, šajā mezglā tiks izvietoti podi.
NoExecute - šis efekts izraisa tūlītēju to pākstīm, kurām nav atbilstoša ieraksta, evakuāciju tolerations.

Interesanti, ka šo uzvedību var atcelt, izmantojot pielaides mehānismu. Tas ir ērti, ja ir “aizliegts” mezgls un tajā ir jāizvieto tikai infrastruktūras pakalpojumi. Kā to izdarīt? Atļaut tikai tās pākstis, kurām ir piemērota pielaide.

Lūk, kā izskatītos pod specifikācija:

spec:
   tolerations:
     - key: "node-role.kubernetes.io/ingress"
        operator: "Equal"
        value: "true"
        effect: "NoSchedule"

Tas nenozīmē, ka nākamā pārizvietošana notiks šajā konkrētajā mezglā, tas nav mezgla afinitātes mehānisms un nodeSelector. Bet, apvienojot vairākas funkcijas, varat sasniegt ļoti elastīgus plānotāja iestatījumus.

8. Iestatiet Pod izvietošanas prioritāti

Tas, ka jums ir mezgliem piešķirti podi, nenozīmē, ka visi podi ir jāapstrādā ar vienādu prioritāti. Piemēram, iespējams, vēlēsities izvietot dažus aplikumus pirms citiem.

Kubernetes piedāvā dažādus veidus, kā konfigurēt Pod Priority un Preemption. Iestatījums sastāv no vairākām daļām: objekts PriorityClass un lauku apraksti priorityClassName pod specifikācijā. Apskatīsim piemēru:

apiVersion: scheduling.k8s.io/v1
kind: PriorityClass
metadata:
  name: high-priority
value: 99999
globalDefault: false
description: "This priority class should be used for very important pods only"

Mēs radām PriorityClass, piešķiriet tai nosaukumu, aprakstu un vērtību. Jo augstāks value, jo augstāka prioritāte. Vērtība var būt jebkurš 32 bitu vesels skaitlis, kas ir mazāks vai vienāds ar 1 000 000 000. Augstākas vērtības ir rezervētas uzdevumiem kritiskām sistēmas aplikācijām, kuras parasti nevar novērst. Pārvietošanās notiks tikai tad, ja augstas prioritātes podam nav kur apgriezties, tad daļa no noteikta mezgla pākstīm tiks evakuēta. Ja šis mehānisms jums ir pārāk stingrs, varat pievienot opciju preemptionPolicy: Never, un tad nebūs priekšrocību, pods stāvēs pirmais rindā un gaidīs, kamēr plānotājs atradīs tam brīvus resursus.

Tālāk mēs izveidojam podiņu, kurā norādām nosaukumu priorityClassName:

apiVersion: v1
kind: Pod
metadata:
  name: static-web
  labels:
    role: myrole
 spec:
  containers:
    - name: web
      image: nginx
      ports:
        - name: web
          containerPort: 80
          protocol: TCP
  priorityClassName: high-priority

Jūs varat izveidot tik daudz prioritāro nodarbību, cik vēlaties, lai gan ieteicams ar to neaizrauties (teiksim, ierobežot sevi ar zemu, vidēju un augstu prioritāti).

Tādējādi, ja nepieciešams, varat palielināt kritisko pakalpojumu, piemēram, nginx-ingress-controller, coredns utt., izvietošanas efektivitāti.

9. Optimizējiet ETCD kopu

ETCD var saukt par visa klastera smadzenēm. Ir ļoti svarīgi uzturēt šīs datu bāzes darbību augstā līmenī, jo no tā ir atkarīgs operāciju ātrums Cube. Diezgan standarta un tajā pašā laikā labs risinājums būtu saglabāt ETCD klasteru galvenajos mezglos, lai kube-apiserveram būtu minimāla aizkave. Ja nevarat to izdarīt, novietojiet ETCD pēc iespējas tuvāk, nodrošinot labu joslas platumu starp dalībniekiem. Pievērsiet uzmanību arī tam, cik mezglu no ETCD var izkrist, nekaitējot klasterim

Paturiet prātā, ka pārmērīga klastera dalībnieku skaita palielināšana var palielināt kļūdu toleranci uz veiktspējas rēķina, visam jābūt mērenam.

Ja mēs runājam par pakalpojuma iestatīšanu, ir daži ieteikumi:

Ir laba aparatūra, pamatojoties uz klastera lielumu (varat lasīt šeit).
Pielāgojiet dažus parametrus, ja esat izplatījis kopu starp DC pāriem vai tīklu un diski atstāj daudz vēlamo (varat lasīt šeit).

Secinājums

Šajā rakstā ir aprakstīti punkti, kurus mūsu komanda cenšas ievērot. Šis nav detalizēts darbību apraksts, bet gan opcijas, kas var būt noderīgas klastera pieskaitāmās izmaksas. Ir skaidrs, ka katrs klasteris ir unikāls savā veidā, un konfigurācijas risinājumi var ievērojami atšķirties, tāpēc būtu interesanti uzzināt jūsu atsauksmes par to, kā uzraugāt savu Kubernetes klasteru un kā uzlabojat tā veiktspēju. Dalieties pieredzē komentāros, būs interesanti uzzināt.

Avots: www.habr.com

Deviņi Kubernetes snieguma padomi