🥇 “Kubernetes 10 reizes palielināja latentumu”: kurš pie tā vainīgs?

Piezīme. tulk.: Šis raksts, ko uzrakstījis Galo Navarro, kurš ieņem galvenā programmatūras inženiera amatu Eiropas uzņēmumā Adevinta, ir aizraujoša un pamācoša “izpēte” infrastruktūras darbības jomā. Tā oriģinālais nosaukums ir nedaudz paplašināts tulkojumā iemesla dēļ, ko autors paskaidro pašā sākumā.

Piezīme no autora: Izskatās pēc šīs ziņas piesaistīja daudz vairāk uzmanības, nekā gaidīts. Joprojām saņemu dusmīgus komentārus, ka raksta nosaukums ir maldinošs un daži lasītāji ir apbēdināti. Es saprotu notiekošā iemeslus, tāpēc, neskatoties uz risku sabojāt visu intrigu, es vēlos jums nekavējoties pastāstīt, par ko ir šis raksts. Interesanta lieta, ko esmu redzējis, komandām migrējot uz Kubernetes, ir tas, ka ikreiz, kad rodas problēma (piemēram, palielināts latentums pēc migrācijas), pirmā lieta, kas tiek vainota, ir Kubernetes, bet tad izrādās, ka orķestra vadītājs nav īsti vainot. Šis raksts stāsta par vienu šādu gadījumu. Tās nosaukums atkārto viena mūsu izstrādātāja izsaukumu (vēlāk jūs redzēsiet, ka Kubernetes ar to nav nekāda sakara). Šeit jūs neatradīsit pārsteidzošas atklāsmes par Kubernetes, taču jūs varat sagaidīt pāris labas nodarbības par sarežģītām sistēmām.

Pirms pāris nedēļām mana komanda migrēja vienu mikropakalpojumu uz pamata platformu, kas ietvēra CI/CD, uz Kubernetes balstītu izpildlaiku, metriku un citus labumus. Pārcelšanās bija izmēģinājuma raksturs: plānojām to ņemt par pamatu un tuvāko mēnešu laikā nodot vēl aptuveni 150 pakalpojumus. Viņi visi ir atbildīgi par dažu lielāko tiešsaistes platformu darbību Spānijā (Infojobs, Fotocasa utt.).

Pēc tam, kad mēs izvietojām lietojumprogrammu Kubernetes un novirzījām uz to daļu trafika, mūs gaidīja satraucošs pārsteigums. Kavēšanās (latents) pieprasījumu skaits Kubernetes bija 10 reizes lielāks nekā EC2. Kopumā bija nepieciešams vai nu rast risinājumu šai problēmai, vai arī atteikties no mikropakalpojuma (un, iespējams, arī visa projekta) migrācijas.

Kāpēc Kubernetes latentums ir tik daudz lielāks nekā EC2?

Lai atrastu vājo vietu, mēs apkopojām metriku visā pieprasījuma ceļā. Mūsu arhitektūra ir vienkārša: API vārteja (Zuul) nosūta pieprasījumus mikropakalpojumu gadījumiem EC2 vai Kubernetes. Programmā Kubernetes mēs izmantojam NGINX ieejas kontrolieri, un aizmugursistēmas ir parasti objekti, piemēram Izvietošanas ar JVM lietojumprogrammu Spring platformā.

                                  EC2
                            +---------------+
                            |  +---------+  |
                            |  |         |  |
                       +-------> BACKEND |  |
                       |    |  |         |  |
                       |    |  +---------+  |                   
                       |    +---------------+
             +------+  |
Public       |      |  |
      -------> ZUUL +--+
traffic      |      |  |              Kubernetes
             +------+  |    +-----------------------------+
                       |    |  +-------+      +---------+ |
                       |    |  |       |  xx  |         | |
                       +-------> NGINX +------> BACKEND | |
                            |  |       |  xx  |         | |
                            |  +-------+      +---------+ |
                            +-----------------------------+

Šķiet, ka problēma ir saistīta ar sākotnējo latentumu aizmugursistēmā (problēmas apgabalu grafikā atzīmēju kā "xx"). EC2 lietojumprogrammas atbilde aizņēma aptuveni 20 ms. Kubernetes latentums palielinājās līdz 100-200 ms.

Mēs ātri noraidījām iespējamās aizdomās turamās personas, kas bija saistītas ar izpildlaika maiņu. JVM versija paliek nemainīga. Arī konteineru ievietošanas problēmām ar to nebija nekāda sakara: lietojumprogramma jau veiksmīgi darbojās EC2 konteineros. Vai tiek ielādēts? Bet mēs novērojām augstu latentumu pat ar 1 pieprasījumu sekundē. Varētu atstāt novārtā arī atkritumu savākšanas pauzes.

Viens no mūsu Kubernetes administratoriem jautāja, vai lietojumprogrammai nav ārējas atkarības, jo DNS vaicājumi iepriekš bija radījuši līdzīgas problēmas.

1. hipotēze: DNS nosaukuma izšķiršana

Katram pieprasījumam mūsu lietojumprogramma vienu līdz trīs reizes piekļūst AWS Elasticsearch instancei tādā domēnā kā elastic.spain.adevinta.com. Mūsu konteineros ir čaula, lai mēs varētu pārbaudīt, vai domēna meklēšana patiešām aizņem ilgu laiku.

DNS vaicājumi no konteinera:

[root@be-851c76f696-alf8z /]# while true; do dig "elastic.spain.adevinta.com" | grep time; sleep 2; done
;; Query time: 22 msec
;; Query time: 22 msec
;; Query time: 29 msec
;; Query time: 21 msec
;; Query time: 28 msec
;; Query time: 43 msec
;; Query time: 39 msec

Līdzīgi pieprasījumi no viena no EC2 gadījumiem, kurā darbojas lietojumprogramma:

bash-4.4# while true; do dig "elastic.spain.adevinta.com" | grep time; sleep 2; done
;; Query time: 77 msec
;; Query time: 0 msec
;; Query time: 0 msec
;; Query time: 0 msec
;; Query time: 0 msec

Ņemot vērā, ka uzmeklēšana ilga aptuveni 30 ms, kļuva skaidrs, ka DNS izšķirtspēja, piekļūstot Elasticsearch, patiešām veicināja latentuma palielināšanos.

Tomēr tas bija dīvaini divu iemeslu dēļ:

Mums jau ir daudz Kubernetes lietojumprogrammu, kas mijiedarbojas ar AWS resursiem, neciešot no liela latentuma. Lai kāds būtu iemesls, tas attiecas tieši uz šo gadījumu.
Mēs zinām, ka JVM veic DNS kešatmiņu atmiņā. Mūsu attēlos TTL vērtība ir ierakstīta $JAVA_HOME/jre/lib/security/java.security un iestatiet uz 10 sekundēm: networkaddress.cache.ttl = 10. Citiem vārdiem sakot, JVM ir jāsaglabā kešatmiņā visi DNS vaicājumi 10 sekundes.

Lai apstiprinātu pirmo hipotēzi, mēs nolēmām kādu laiku pārtraukt DNS izsaukšanu un pārbaudīt, vai problēma ir pazudusi. Pirmkārt, mēs nolēmām pārkonfigurēt lietojumprogrammu, lai tā tieši sazinātos ar Elasticsearch pēc IP adreses, nevis ar domēna nosaukumu. Tam būtu nepieciešamas koda izmaiņas un jauna izvietošana, tāpēc mēs vienkārši kartējām domēnu ar tā IP adresi /etc/hosts:

34.55.5.111 elastic.spain.adevinta.com

Tagad konteiners gandrīz uzreiz saņēma IP. Tas radīja nelielus uzlabojumus, taču mēs bijām tikai nedaudz tuvāk paredzamajiem latentuma līmeņiem. Lai gan DNS atrisināšana prasīja ilgu laiku, patiesais iemesls mums joprojām nav izdevies.

Diagnostika caur tīklu

Mēs nolēmām analizēt trafiku no konteinera, izmantojot tcpdumplai redzētu, kas tieši notiek tīklā:

[root@be-851c76f696-alf8z /]# tcpdump -leni any -w capture.pcap

Pēc tam mēs nosūtījām vairākus pieprasījumus un lejupielādējām to tveršanu (kubectl cp my-service:/capture.pcap capture.pcap), lai veiktu turpmāku analīzi Wireshark.

DNS vaicājumos nebija nekā aizdomīga (izņemot vienu sīkumu, par kuru es runāšu vēlāk). Taču bija dažas dīvainības, kā mūsu dienests apstrādāja katru pieprasījumu. Tālāk ir redzams tveršanas ekrānuzņēmums, kurā redzams, ka pieprasījums tiek pieņemts pirms atbildes sākšanas:

Iepakojuma numuri ir parādīti pirmajā kolonnā. Skaidrības labad dažādās TCP straumes esmu kodējis ar krāsām.

Zaļā straume, kas sākas ar paketi 328, parāda, kā klients (172.17.22.150) izveidoja TCP savienojumu ar konteineru (172.17.36.147). Pēc sākotnējās rokasspiediena (328-330) atnesa iepakojumu 331 HTTP GET /v1/.. — mūsu dienestam ienākošs pieprasījums. Viss process aizņēma 1 ms.

Pelēkā straume (no 339. paketes) parāda, ka mūsu pakalpojums nosūtīja HTTP pieprasījumu Elasticsearch instancei (nav TCP rokasspiediena, jo tiek izmantots esošs savienojums). Tas aizņēma 18 ms.

Pagaidām viss ir kārtībā, un laiki aptuveni atbilst paredzamajiem kavējumiem (20-30 ms, mērot no klienta).

Tomēr zilā sadaļa aizņem 86 ms. Kas tajā notiek? Izmantojot paketi 333, mūsu pakalpojums nosūtīja HTTP GET pieprasījumu uz /latest/meta-data/iam/security-credentials, un tūlīt pēc tā, izmantojot to pašu TCP savienojumu, vēl viens GET pieprasījums /latest/meta-data/iam/security-credentials/arn:...

Mēs atklājām, ka tas atkārtojas ar katru pieprasījumu visā trasē. DNS izšķirtspēja mūsu konteineros patiešām ir nedaudz lēnāka (skaidrojums šai parādībai ir diezgan interesants, bet es to saglabāšu atsevišķam rakstam). Izrādījās, ka ilgās kavēšanās iemesls bija zvani uz AWS instances metadatu pakalpojumu pēc katra pieprasījuma.

2. hipotēze: nevajadzīgi izsaukumi uz AWS

Abi galapunkti pieder AWS instances metadatu API. Mūsu mikropakalpojums izmanto šo pakalpojumu Elasticsearch darbības laikā. Abi zvani ir daļa no pamata autorizācijas procesa. Galapunkts, kuram tiek piekļūts pēc pirmā pieprasījuma, izdod ar instanci saistīto IAM lomu.

/ # curl http://169.254.169.254/latest/meta-data/iam/security-credentials/
arn:aws:iam::<account_id>:role/some_role

Otrais pieprasījums pieprasa otrajam galapunktam pagaidu atļaujas šim gadījumam:

/ # curl http://169.254.169.254/latest/meta-data/iam/security-credentials/arn:aws:iam::<account_id>:role/some_role`
{
    "Code" : "Success",
    "LastUpdated" : "2012-04-26T16:39:16Z",
    "Type" : "AWS-HMAC",
    "AccessKeyId" : "ASIAIOSFODNN7EXAMPLE",
    "SecretAccessKey" : "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
    "Token" : "token",
    "Expiration" : "2017-05-17T15:09:54Z"
}

Klients tos var izmantot īsu laiku un periodiski jāiegūst jauni sertifikāti (pirms to iegūšanas Expiration). Modelis ir vienkāršs: drošības apsvērumu dēļ AWS bieži rotē pagaidu atslēgas, taču klienti var tās dažas minūtes saglabāt kešatmiņā, lai kompensētu veiktspējas sodu, kas saistīts ar jaunu sertifikātu iegūšanu.

AWS Java SDK vajadzētu uzņemties atbildību par šī procesa organizēšanu, taču kaut kādu iemeslu dēļ tas nenotiek.

Pēc problēmu meklēšanas vietnē GitHub mēs saskārāmies ar problēmu #1921. Viņa mums palīdzēja noteikt virzienu, kurā “rakt” tālāk.

AWS SDK atjaunina sertifikātus, ja rodas kāds no šiem nosacījumiem:

Derīguma termiņš (Expiration) Iekrist EXPIRATION_THRESHOLD, kodēts līdz 15 minūtēm.
Kopš pēdējā sertifikātu atjaunošanas mēģinājuma pagājis vairāk laika nekā REFRESH_THRESHOLD, kodēts 60 minūtes.

Lai redzētu saņemto sertifikātu faktisko derīguma termiņu, mēs izpildījām iepriekš minētās cURL komandas gan no konteinera, gan no EC2 instances. No konteinera saņemtā sertifikāta derīguma termiņš izrādījās krietni īsāks: tieši 15 minūtes.

Tagad viss ir kļuvis skaidrs: par pirmo pieprasījumu mūsu dienests saņēma pagaidu sertifikātus. Tā kā tie nebija derīgi ilgāk par 15 minūtēm, AWS SDK izlems tos atjaunināt pēc nākamā pieprasījuma. Un tas notika ar katru pieprasījumu.

Kāpēc sertifikātu derīguma termiņš ir kļuvis īsāks?

AWS instances metadati ir paredzēti darbam ar EC2 gadījumiem, nevis ar Kubernetes gadījumiem. No otras puses, mēs negribējām mainīt lietojumprogrammas saskarni. Šim nolūkam mēs izmantojām KIAM - rīks, kas, izmantojot aģentus katrā Kubernetes mezglā, ļauj lietotājiem (inženieriem, kas izvieto lietojumprogrammas klasterī) piešķirt IAM lomas konteineriem podiņos tā, it kā tie būtu EC2 gadījumi. KIAM pārtver zvanus uz AWS instances metadatu pakalpojumu un apstrādā tos no kešatmiņas, iepriekš tos saņēmis no AWS. No pielietojuma viedokļa nekas nemainās.

KIAM piegādā pākstīm īstermiņa sertifikātus. Tas ir loģiski, ņemot vērā, ka pāksts vidējais kalpošanas laiks ir īsāks nekā EC2 eksemplāram. Sertifikātu noklusējuma derīguma termiņš vienāds ar tām pašām 15 minūtēm.

Tā rezultātā, ja abas noklusējuma vērtības pārklājat vienu virs otras, rodas problēma. Katrs pieteikumam iesniegtais sertifikāts beidzas pēc 15 minūtēm. Tomēr AWS Java SDK piespiež atjaunot jebkuru sertifikātu, kuram līdz derīguma termiņa beigām ir atlikušas mazāk nekā 15 minūtes.

Rezultātā pagaidu sertifikāts ir spiests atjaunot ar katru pieprasījumu, kas ietver pāris izsaukumus uz AWS API un izraisa ievērojamu latentuma pieaugumu. AWS Java SDK mēs atradām funkcijas pieprasījums, kurā ir minēta līdzīga problēma.

Risinājums izrādījās vienkāršs. Mēs vienkārši pārkonfigurējām KIAM, lai pieprasītu sertifikātus ar ilgāku derīguma termiņu. Kad tas notika, pieprasījumi sāka plūst bez AWS metadatu pakalpojuma līdzdalības, un latentums samazinājās līdz pat zemākam līmenim nekā EC2.

Atzinumi

Balstoties uz mūsu pieredzi ar migrāciju, viens no biežākajiem problēmu avotiem nav Kubernetes vai citu platformas elementu kļūdas. Tas arī nenovērš nekādus būtiskus trūkumus mikropakalpojumos, kurus mēs pārnesam. Problēmas bieži rodas vienkārši tāpēc, ka mēs apvienojam dažādus elementus.

Mēs sajaucam kopā sarežģītas sistēmas, kuras nekad iepriekš nav bijušas mijiedarbībā, sagaidot, ka tās kopā veidos vienotu, lielāku sistēmu. Diemžēl, jo vairāk elementu, jo vairāk kļūdu, jo lielāka ir entropija.

Mūsu gadījumā lielais latentums nebija Kubernetes, KIAM, AWS Java SDK vai mūsu mikropakalpojuma kļūdu vai sliktu lēmumu rezultāts. Tas tika iegūts, apvienojot divus neatkarīgus noklusējuma iestatījumus: vienu KIAM, otru AWS Java SDK. Atsevišķi ņemti vērā abi parametri: aktīvā sertifikātu atjaunošanas politika AWS Java SDK un sertifikātu īsais derīguma termiņš KAIM. Bet, tos saliekot kopā, rezultāti kļūst neparedzami. Diviem neatkarīgiem un loģiskiem risinājumiem nav jābūt jēgas, ja tos apvieno.

PS no tulka

Varat uzzināt vairāk par KIAM utilīta arhitektūru AWS IAM integrēšanai ar Kubernetes vietnē Šis raksts no tā veidotājiem.

Lasiet arī mūsu emuārā:

Avots: www.habr.com

“Kubernetes palielināja latentumu 10 reizes”: kurš pie tā ir vainīgs?