Kubernetes padomi un triki: graciozas izslēgšanas iespējas NGINX un PHP-FPM

Tipisks nosacījums, ieviešot CI/CD Kubernetes: lietojumprogrammai ir jāspēj nepieņemt jaunus klientu pieprasījumus pirms pilnīgas apstāšanās, un pats galvenais, veiksmīgi pabeigt esošos.

Atbilstība šim nosacījumam ļauj sasniegt nulles dīkstāves izvietošanas laikā. Tomēr pat tad, ja izmantojat ļoti populārus komplektus (piemēram, NGINX un PHP-FPM), varat saskarties ar grūtībām, kas izraisīs kļūdu pieaugumu katrā izvietošanas reizē...

Teorija. Kā pods dzīvo

Mēs jau esam detalizēti publicējuši pāksts dzīves ciklu šis raksts. Apskatāmās tēmas kontekstā mūs interesē sekojošais: brīdī, kad pods nonāk stāvoklī Beidzas, tai vairs netiek sūtīti jauni pieprasījumi (pod noņemts no pakalpojuma galapunktu saraksta). Tādējādi, lai izvairītos no dīkstāves izvietošanas laikā, mums pietiek ar pareizu lietojumprogrammas apturēšanas problēmu.

Jums arī jāatceras, ka noklusējuma labvēlības periods ir 30 sekundes: pēc tam aplikācijas darbība tiks pārtraukta, un lietojumprogrammai ir jābūt laikam, lai apstrādātu visus pieprasījumus pirms šī perioda. Piezīme: lai gan jebkurš pieprasījums, kas aizņem vairāk nekā 5-10 sekundes, jau ir problemātisks, un gracioza izslēgšana vairs nepalīdzēs...

Lai labāk izprastu, kas notiek, kad pods tiek pārtraukts, vienkārši apskatiet šo diagrammu:

A1, B1 - Izmaiņu saņemšana par pavarda stāvokli
A2 - Izbraukšana SIGTERM
B2 — podnieka noņemšana no galapunktiem
B3 — izmaiņu saņemšana (ir mainīts beigu punktu saraksts)
B4 — atjauniniet iptables noteikumus

Lūdzu, ņemiet vērā: galapunkta apgabala dzēšana un SIGTERM nosūtīšana nenotiek secīgi, bet paralēli. Un sakarā ar to, ka Ingress nekavējoties nesaņem atjaunināto galapunktu sarakstu, uz pod tiks nosūtīti jauni klientu pieprasījumi, kas pod pārtraukšanas laikā radīs 500 kļūdu. (lai iegūtu sīkāku materiālu par šo jautājumu, mēs tulkots). Šī problēma ir jāatrisina šādos veidos:

• Sūtīt savienojumu: aizveriet atbildes galvenes (ja tas attiecas uz HTTP lietojumprogrammu).
• Ja kodā nav iespējams veikt izmaiņas, nākamajā rakstā ir aprakstīts risinājums, kas ļaus apstrādāt pieprasījumus līdz labvēlīgā perioda beigām.

Teorija. Kā NGINX un PHP-FPM pārtrauc savus procesus

nginx

Sāksim ar NGINX, jo ar to viss ir vairāk vai mazāk skaidrs. Iedziļinoties teorijā, mēs uzzinām, ka NGINX ir viens galvenais process un vairāki "darbinieki" - tie ir pakārtotie procesi, kas apstrādā klientu pieprasījumus. Tiek nodrošināta ērta opcija: izmantojot komandu nginx -s <SIGNAL> pārtraukt procesus ātrās izslēgšanas vai graciozās izslēgšanas režīmā. Acīmredzot mūs interesē pēdējais variants.

Tad viss ir vienkārši: jums jāpievieno preStop-āķis komanda, kas nosūtīs graciozu izslēgšanas signālu. To var izdarīt sadaļā Izvietošana konteinera blokā:

       lifecycle:
          preStop:
            exec:
              command:
              - /usr/sbin/nginx
              - -s
              - quit

Tagad, kad pods tiks izslēgts, NGINX konteinera žurnālos redzēsim šādu informāciju:

2018/01/25 13:58:31 [notice] 1#1: signal 3 (SIGQUIT) received, shutting down
2018/01/25 13:58:31 [notice] 11#11: gracefully shutting down

Un tas nozīmēs to, kas mums nepieciešams: NGINX gaida, līdz tiks pabeigti pieprasījumi, un pēc tam nogalina procesu. Tomēr tālāk mēs apsvērsim arī izplatītu problēmu, kuras dēļ pat ar komandu nginx -s quit process beidzas nepareizi.

Un šajā posmā ar NGINX esam galā: vismaz no žurnāliem var saprast, ka viss darbojas kā nākas.

Kāds sakars ar PHP-FPM? Kā tas apstrādā graciozo izslēgšanu? Izdomāsim.

PHP-FPM

PHP-FPM gadījumā informācijas ir nedaudz mazāk. Ja koncentrējaties uz oficiālā rokasgrāmata saskaņā ar PHP-FPM tas pateiks, ka tiek pieņemti šādi POSIX signāli:

1. SIGINT, SIGTERM - ātra izslēgšana;
2. SIGQUIT — gracioza izslēgšana (tas, kas mums vajadzīgs).

Atlikušie signāli šajā uzdevumā nav nepieciešami, tāpēc mēs to analīzi izlaidīsim. Lai pareizi pārtrauktu procesu, jums būs jāuzraksta šāds preStop āķis:

        lifecycle:
          preStop:
            exec:
              command:
              - /bin/kill
              - -SIGQUIT
              - "1"

No pirmā acu uzmetiena tas ir viss, kas nepieciešams, lai veiktu graciozu izslēgšanu abos konteineros. Tomēr uzdevums ir grūtāks, nekā šķiet. Tālāk ir norādīti divi gadījumi, kad gracioza izslēgšana nedarbojās un izraisīja īslaicīgu projekta nepieejamību izvietošanas laikā.

Prakse. Iespējamas problēmas ar graciozu izslēgšanu

nginx

Pirmkārt, ir lietderīgi atcerēties: papildus komandas izpildei nginx -s quit Ir vēl viens posms, kam ir vērts pievērst uzmanību. Mēs saskārāmies ar problēmu, kuras dēļ NGINX joprojām sūtīja SIGTERM, nevis SIGQUIT signālu, kā rezultātā pieprasījumi netika pareizi pabeigti. Līdzīgus gadījumus var atrast, piemēram, šeit. Diemžēl mēs nevarējām noteikt konkrētu šīs uzvedības iemeslu: bija aizdomas par NGINX versiju, taču tās neapstiprinājās. Simptoms bija tāds, ka NGINX konteinera žurnālos tika novēroti ziņojumi: "atvērta ligzda #10, kas atstāta savienojumā 5", pēc kura pods apstājās.

Mēs varam novērot šādu problēmu, piemēram, no mums nepieciešamajām atbildēm par Ingress:

Statusa kodu indikatori izvietošanas laikā

Šajā gadījumā mēs saņemam tikai kļūdas kodu 503 no pašas Ingress: tas nevar piekļūt NGINX konteineram, jo ​​tas vairs nav pieejams. Ja skatāties uz konteineru žurnāliem, izmantojot NGINX, tie satur šādu informāciju:

[alert] 13939#0: *154 open socket #3 left in connection 16
[alert] 13939#0: *168 open socket #6 left in connection 13

Pēc apstāšanās signāla maiņas konteiners sāk pareizi apstāties: to apstiprina fakts, ka kļūda 503 vairs netiek novērota.

Ja rodas līdzīga problēma, ir lietderīgi noskaidrot, kāds apturēšanas signāls tiek izmantots konteinerā un kā tieši izskatās preStop āķis. Pilnīgi iespējams, ka iemesls slēpjas tieši tajā.

PHP-FPM... un vairāk

PHP-FPM problēma ir aprakstīta triviāli: tas negaida bērnu procesu pabeigšanu, tas pārtrauc tos, tāpēc izvietošanas un citu darbību laikā rodas 502 kļūdas. Vietnē bugs.php.net kopš 2005. gada ir vairāki kļūdu ziņojumi (piem šeit и šeit), kas apraksta šo problēmu. Bet jūs, visticamāk, neko neredzēsit žurnālos: PHP-FPM paziņos par sava procesa pabeigšanu bez kļūdām vai trešo pušu paziņojumiem.

Ir vērts precizēt, ka pati problēma var būt mazākā vai lielākā mērā atkarīga no pašas lietojumprogrammas un var neizpausties, piemēram, uzraudzībā. Ja ar to saskaraties, vispirms nāk prātā vienkāršs risinājums: pievienojiet preStop āķi ar sleep(30). Tas ļaus jums izpildīt visus pieprasījumus, kas bija iepriekš (un mēs nepieņemam jaunus, jo pod jau spējīgs uz Beidzas), un pēc 30 sekundēm pats pods beigsies ar signālu SIGTERM.

Izrādās, ka lifecycle konteiners izskatīsies šādi:

    lifecycle:
      preStop:
        exec:
          command:
          - /bin/sleep
          - "30"

Tomēr sakarā ar 30-sek sleep mēs stingri mēs pagarināsim izvietošanas laiku, jo katrs pods tiks pārtraukts minimums 30 sekundes, kas ir slikti. Ko šajā sakarā var darīt?

Vērsīsimies pie personas, kas ir atbildīga par pieteikuma tiešu izpildi. Mūsu gadījumā tā ir PHP-FPMKurš pēc noklusējuma neuzrauga savu pakārtoto procesu izpildi: galvenais process tiek nekavējoties pārtraukts. Varat mainīt šo darbību, izmantojot direktīvu process_control_timeout, kas nosaka laika ierobežojumus bērnprocesiem, lai gaidītu signālus no galvenā. Ja iestatāt vērtību uz 20 sekundēm, tas aptvers lielāko daļu vaicājumu, kas darbojas konteinerā, un apturēs galveno procesu, tiklīdz tie būs pabeigti.

Ar šīm zināšanām atgriezīsimies pie pēdējās problēmas. Kā minēts, Kubernetes nav monolīta platforma: saziņa starp tās dažādajām sastāvdaļām aizņem kādu laiku. Tas jo īpaši attiecas uz Ingresses un citu saistīto komponentu darbību, jo šādas kavēšanās dēļ izvietošanas laikā ir viegli iegūt 500 kļūdu pieaugumu. Piemēram, kļūda var rasties pieprasījuma nosūtīšanas posmā uz augšu, taču mijiedarbības “laika nobīde” starp komponentiem ir diezgan īsa - mazāka par sekundi.

Tādēļ Kopā ar jau minēto direktīvu process_control_timeout varat izmantot šādu konstrukciju lifecycle:

lifecycle:
  preStop:
    exec:
      command: ["/bin/bash","-c","/bin/sleep 1; kill -QUIT 1"]

Šajā gadījumā mēs kompensēsim kavēšanos ar komandu sleep un nepalieliniet izvietošanas laiku: vai ir ievērojama atšķirība starp 30 sekundēm un vienu? .. Patiesībā tā ir process_control_timeoutUn lifecycle izmanto tikai kā “drošības tīklu” kavēšanās gadījumā.

Vispārīgi runājot aprakstītā rīcība un atbilstošais risinājums attiecas ne tikai uz PHP-FPM. Līdzīga situācija tā vai citādi var rasties, lietojot citas valodas/ietvarus. Ja graciozo izslēgšanu nevarat novērst citos veidos, piemēram, pārrakstot kodu, lai lietojumprogramma pareizi apstrādātu beigu signālus, varat izmantot aprakstīto metodi. Tas var nebūt tas skaistākais, bet tas darbojas.

Prakse. Slodzes pārbaude, lai pārbaudītu podziņa darbību

Slodzes pārbaude ir viens no veidiem, kā pārbaudīt konteinera darbību, jo šī procedūra tuvina to reāliem kaujas apstākļiem, kad lietotāji apmeklē vietni. Lai pārbaudītu iepriekš minētos ieteikumus, varat izmantot Yandex.Tankom: Tas lieliski apmierina visas mūsu vajadzības. Tālāk ir sniegti padomi un ieteikumi testēšanas veikšanai, izmantojot skaidru piemēru no mūsu pieredzes, pateicoties pašas Grafana un Yandex.Tank diagrammām.

Vissvarīgākais šeit ir pārbaudiet izmaiņas soli pa solim. Pēc jauna labojuma pievienošanas palaidiet testu un pārbaudiet, vai rezultāti ir mainījušies salīdzinājumā ar iepriekšējo palaišanu. Pretējā gadījumā būs grūti noteikt neefektīvus risinājumus, un ilgtermiņā tas var tikai kaitēt (piemēram, palielināt izvietošanas laiku).

Vēl viena nianse ir apskatīt konteinera žurnālus tā darbības pārtraukšanas laikā. Vai tur ir ierakstīta informācija par graciozo izslēgšanu? Vai, piekļūstot citiem resursiem (piemēram, blakus esošajam PHP-FPM konteineram), žurnālos ir kļūdas? Kļūdas pašā lietojumprogrammā (kā iepriekš aprakstītajā gadījumā ar NGINX)? Ceru, ka šī raksta ievadinformācija palīdzēs jums labāk izprast, kas notiek ar konteineru tā darbības pārtraukšanas laikā.

Tātad, pirmais testa brauciens notika bez lifecycle un bez papildu direktīvām lietojumprogrammu serverim (process_control_timeout PHP-FPM). Šī testa mērķis bija noteikt aptuveno kļūdu skaitu (un to, vai tādas ir). Turklāt, ņemot vērā papildu informāciju, jums vajadzētu zināt, ka katras podziņas vidējais izvietošanas laiks bija aptuveni 5–10 sekundes, līdz tas bija pilnībā gatavs. Rezultāti ir:

Yandex.Tank informācijas panelī ir redzams 502 kļūdu pieaugums, kas radās izvietošanas laikā un ilga vidēji līdz 5 sekundēm. Iespējams, tas bija tāpēc, ka esošie pieprasījumi vecajam podam tika pārtraukti, kad tas tika pārtraukts. Pēc tam parādījās 503 kļūdas, ko izraisīja apturēts NGINX konteiners, kas arī pārtrauca savienojumus aizmugursistēmas dēļ (kas neļāva Ingress tai izveidot savienojumu).

Paskatīsimies, kā process_control_timeout PHP-FPM palīdzēs mums sagaidīt bērnu procesu pabeigšanu, t.i. izlabot šādas kļūdas. Atkārtoti izvietot, izmantojot šo direktīvu:

500. izvietošanas laikā kļūdu vairs nav! Izvietošana ir veiksmīga, graciozi izslēgšanas darbi.

Tomēr ir vērts atcerēties problēmu ar Ingress konteineriem — nelielu daļu kļūdu, kuras mēs varam saņemt laika nobīdes dēļ. Lai no tiem izvairītos, atliek tikai pievienot struktūru ar sleep un atkārtojiet izvietošanu. Tomēr mūsu konkrētajā gadījumā nekādas izmaiņas nebija redzamas (atkal nekādu kļūdu).

Secinājums

Lai pabeigtu procesu, mēs sagaidām šādu lietojumprogrammas darbību:

1. Uzgaidiet dažas sekundes un pēc tam pārtrauciet jaunu savienojumu pieņemšanu.
2. Pagaidiet, līdz tiek pabeigti visi pieprasījumi, un aizveriet visus saglabātos savienojumus, kas neizpilda pieprasījumus.
3. Pabeidziet savu procesu.

Tomēr ne visas lietojumprogrammas var darboties šādā veidā. Viens problēmas risinājums Kubernetes realitātē ir:

• pievienojot pirms apstāšanās āķi, kas gaidīs dažas sekundes;
• pētot mūsu aizmugursistēmas konfigurācijas failu, lai iegūtu atbilstošos parametrus.

Piemērā ar NGINX ir skaidrs, ka pat lietojumprogramma, kurai sākotnēji būtu pareizi jāapstrādā pārtraukšanas signāli, to var nedarīt, tāpēc lietojumprogrammas izvietošanas laikā ir ļoti svarīgi pārbaudīt 500 kļūdas. Tas arī ļauj aplūkot problēmu plašāk un nekoncentrēties uz vienu podiņu vai konteineru, bet gan aplūkot visu infrastruktūru kopumā.

Kā testēšanas rīku varat izmantot Yandex.Tank kopā ar jebkuru uzraudzības sistēmu (mūsu gadījumā dati tika ņemti no Grafana ar Prometheus aizmugursistēmu pārbaudei). Problēmas ar graciozu izslēgšanu ir skaidri redzamas pie lielas slodzes, ko var radīt etalons, un uzraudzība palīdz detalizētāk analizēt situāciju testa laikā vai pēc tā.

Atbildot uz atsauksmēm par rakstu: ir vērts pieminēt, ka šeit ir aprakstītas problēmas un risinājumi saistībā ar NGINX Ingress. Citos gadījumos ir citi risinājumi, kurus mēs varam apsvērt turpmākajos sērijas materiālos.

PS

Citi no K8s padomu un triku sērijas:

• «Pielāgotas kļūdu lapas pakalpojumā NGINX Ingress";
• «Par mezglu piešķiršanu un slodzēm tīmekļa lietojumprogrammā";
• «Piekļuve izstrādes vietnēm";
• «Sāknēšanas paātrināšana lielām datu bāzēm'.

Avots: www.habr.com