Dzīvības zondes Kubernetes var būt bīstamas

Piezīme. tulk.: Vadošais inženieris no Zalando Hennings Džeikobss vairākkārt ir novērojis Kubernetes lietotāju problēmas, lai saprastu dzīvīguma (un gatavības) zondes mērķi un to pareizu lietošanu. Tāpēc viņš apkopoja savas domas šajā ietilpīgajā piezīmē, kas galu galā kļūs par daļu no K8s dokumentācijas.

Veselības pārbaudes, zināmas Kubernetes kā dzīvīguma zondes (t.i., burtiski “dzīvotspējas testi” — aptuveni tulk.), var būt diezgan bīstami. Iesaku no tiem izvairīties, ja iespējams: vienīgie izņēmumi ir gadījumi, kad tie patiešām ir nepieciešami un jūs pilnībā apzināties to lietošanas specifiku un sekas. Šajā publikācijā tiks runāts par dzīvīguma un gatavības pārbaudēm, kā arī pastāstīts, kādos gadījumos ir un jums nevajadzētu tos izmantot.

Mans kolēģis Sandors nesen vietnē Twitter dalījās ar visbiežāk sastopamajām kļūdām, tostarp tām, kas saistītas ar gatavības/dzīvības zondes izmantošanu:

Nepareizi konfigurēts livenessProbe var saasināt lielas slodzes situācijas (sniega bumbas izslēgšana + potenciāli ilgs konteinera/lietojumprogrammas palaišanas laiks) un izraisīt citas negatīvas sekas, piemēram, atkarības samazināšanos (Skatīt arī mans nesenais raksts par pieprasījumu skaita ierobežošanu kombinācijā K3s+ACME). Vēl trakāk ir, ja dzīvīguma zondi apvieno ar veselības pārbaudi, kas ir ārēja datu bāze: viena DB kļūme restartēs visus jūsu konteinerus!

Vispārīgs ziņojums "Neizmantojiet dzīvīguma zondes" šajā gadījumā tas neko daudz nepalīdz, tāpēc paskatīsimies, kam paredzētas gatavības un dzīvīguma pārbaudes.

Piezīme. Lielākā daļa tālāk norādītās pārbaudes sākotnēji tika iekļauta Zalando iekšējā izstrādātāja dokumentācijā.

Gatavības un dzīvīguma pārbaudes

Kubernetes nodrošina divus svarīgus mehānismus, ko sauc dzīvības zondes un gatavības zondes. Viņi periodiski veic dažas darbības, piemēram, nosūta HTTP pieprasījumu, atver TCP savienojumu vai izpilda komandu konteinerā, lai apstiprinātu, ka lietojumprogramma darbojas, kā paredzēts.

Kubernetes izmanto gatavības zondeslai saprastu, kad konteiners ir gatavs satiksmei. Pāksts tiek uzskatīta par gatavu lietošanai, ja visi tā konteineri ir gatavi. Viens no šī mehānisma izmantošanas veidiem ir kontrolēt, kuri podi tiek izmantoti kā Kubernetes pakalpojumu (un jo īpaši Ingress) aizmugursistēmas.

Dzīvības zondes palīdziet Kubernetes saprast, kad ir pienācis laiks restartēt konteineru. Piemēram, šāda pārbaude ļauj pārtvert strupceļu, kad lietojumprogramma iestrēgst vienā vietā. Konteinera restartēšana šādā stāvoklī palīdz lietojumprogrammai darboties, neskatoties uz kļūdām, taču tā var izraisīt arī kaskādes kļūmes (skatiet tālāk).

Ja mēģināt izvietot lietojumprogrammas atjauninājumu, kas neiztur dzīvības/gatavības pārbaudes, tā izlaišana tiks apturēta, jo Kubernetes gaidīs statusu. Ready no visām pākstīm.

Piemērs

Šeit ir piemērs gatavības zondei, kas pārbauda ceļu /health izmantojot HTTP ar noklusējuma iestatījumiem (intervāls: 10 sekundes, taimautu: 1 sekunde, veiksmes slieksnis: 1, neveiksmes slieksnis: 3):

# часть общего описания deployment'а/стека
podTemplate:
  spec:
    containers:
    - name: my-container
      # ...
      readinessProbe:
        httpGet:
          path: /health
          port: 8080

Ieteikumi

1. Mikropakalpojumiem ar HTTP galapunktu (REST utt.) vienmēr definējiet gatavības zondi, kas pārbauda, ​​vai lietojumprogramma (pod) ir gatava pieņemt trafiku.
2. Pārliecinieties par gatavības zondi attiecas uz faktiskā tīmekļa servera porta pieejamību:
   • portu izmantošana administratīviem nolūkiem, ko sauc par "admin" vai "management" (piemēram, 9090), readinessProbe, pārliecinieties, vai galapunkts atgriež OK tikai tad, ja primārais HTTP ports (piemēram, 8080) ir gatavs pieņemt trafiku*;

     *Man ir zināms vismaz viens Zalando gadījums, kad tas nav noticis, t.i. readinessProbe Pārbaudīju “management” portu, bet pats serveris nesāka darboties kešatmiņas ielādes problēmu dēļ.

   • gatavības zondes pievienošana atsevišķam portam var novest pie tā, ka galvenā porta pārslodze netiks atspoguļota veselības pārbaudē (tas ir, pavedienu pūls serverī ir pilns, bet veselības pārbaude joprojām parāda, ka viss ir kārtībā ).
3. Pārliecinies ka gatavības zonde nodrošina datu bāzes inicializāciju/migrāciju;
   • Vienkāršākais veids, kā to panākt, ir sazināties ar HTTP serveri tikai pēc inicializācijas pabeigšanas (piemēram, datu bāzes migrēšana no Lidotais ceļš un tā tālāk.); tas ir, tā vietā, lai mainītu veselības pārbaudes statusu, vienkārši nestartējiet tīmekļa serveri, kamēr datu bāzes migrēšana nav pabeigta*.

     * Varat arī palaist datu bāzes migrāciju no init konteineriem ārpus pod. Joprojām esmu pašpietiekamu aplikāciju cienītājs, tas ir, tādām, kurās lietojumprogrammu konteiners prot novest datu bāzi vajadzīgajā stāvoklī bez ārējas saskaņošanas.

4. Izmantojiet httpGet gatavības pārbaudēm, izmantojot tipiskus veselības pārbaudes galapunktus (piemēram, /health).
5. Izprotiet noklusējuma pārbaudes parametrus (interval: 10s, timeout: 1s, successThreshold: 1, failureThreshold: 3):
   • noklusējuma opcijas nozīmē, ka pods kļūs nav gatavs pēc aptuveni 30 sekundēm (3 nesekmīgas saprāta pārbaudes).
6. Izmantojiet atsevišķu portu “administrēšanai” vai “pārvaldībai”, ja tehnoloģiju steks (piem., Java/Spring) to atļauj, lai nošķirtu veselības un metrikas pārvaldību no parastās trafika:
   • bet neaizmirstiet par 2. punktu.
7. Ja nepieciešams, gatavības zondi var izmantot, lai uzsildītu/ielādētu kešatmiņu un atgrieztu statusa kodu 503, līdz konteiners uzsilst:
   • Iesaku arī izlasīt jauno čeku startupProbe, parādījās versijā 1.16 (par to rakstījām krievu valodā šeit — apm. tulk.).

Brīdinājumi

1. Nepaļaujieties uz ārējām atkarībām (piemēram, datu noliktavas), veicot gatavības/dzīvesspējas testus — tas var izraisīt kaskādes kļūmes:
   • Kā piemēru ņemsim statusful REST pakalpojumu ar 10 podiem atkarībā no vienas Postgres datu bāzes: kad pārbaude ir atkarīga no darba savienojuma ar DB, visi 10 podi var neizdoties, ja tīkla/DB pusē ir aizkave - parasti tā viss beidzas sliktāk, nekā tas varētu būt;
   • Lūdzu, ņemiet vērā, ka Spring Data pēc noklusējuma pārbauda datu bāzes savienojumu*;

     * Šī ir Spring Data Redis noklusējuma darbība (vismaz tā bija pēdējā reize, kad pārbaudīju), kas noveda pie "katastrofālas" kļūmes: kad Redis īsu laiku nebija pieejams, visi podi "avarēja".

   • “ārējais” šajā nozīmē var nozīmēt arī citus tās pašas lietojumprogrammas apvidus, proti, ideālā gadījumā pārbaudei nevajadzētu būt atkarīgai no citu tās pašas klastera podziņu stāvokļa, lai novērstu kaskādes avārijas:
     • rezultāti var atšķirties lietojumprogrammām ar izplatītu stāvokli (piemēram, atmiņas kešatmiņa podiņos).
2. Neizmantojiet dzīvīguma zondi pākstīm (izņēmums ir gadījumi, kad tie patiešām ir nepieciešami un jūs pilnībā apzināties to lietošanas specifiku un sekas):
   • Atdzīvināšanas zonde var palīdzēt atgūt pakarinātos konteinerus, taču, tā kā jūs pilnībā kontrolējat savu lietojumprogrammu, ideālā gadījumā nevajadzētu notikt tādām lietām kā pakarināti procesi un strupceļi: labākā alternatīva ir apzināti avarēt lietojumprogrammu un atjaunot to iepriekšējā līdzsvara stāvoklī;
   • neveiksmīga dzīvīguma zonde izraisīs konteinera restartēšanu, tādējādi, iespējams, saasinot ar ielādi saistītu kļūdu ietekmi: konteinera restartēšana izraisīs dīkstāvi (vismaz lietojumprogrammas palaišanas laikā, piemēram, 30 sekundes), radot jaunas kļūdas. , palielinot slodzi uz citiem konteineriem un palielinot to atteices iespējamību utt.;
   • dzīvīguma pārbaudes apvienojumā ar ārēju atkarību ir sliktākā iespējamā kombinācija, kas apdraud kaskādes kļūmes: neliela aizkave datu bāzes pusē novedīs pie visu jūsu konteineru restartēšanas!
3. Dzīvības un gatavības pārbaužu parametri jābūt atšķirīgam:
   • varat izmantot dzīvīguma zondi ar tādu pašu veselības pārbaudi, bet augstāku reakcijas slieksni (failureThreshold), piemēram, piešķiriet statusu nav gatavs pēc 3 mēģinājumiem un uzskata, ka dzīvīguma zonde ir neizdevusies pēc 10 mēģinājumiem;
4. Neizmantojiet izpildpārbaudes, jo tie ir saistīti ar zināmām problēmām, kas izraisa zombiju procesu parādīšanos:
   • sīkāka informācija: sk Datadog speciālistu prezentācija.

Kopsavilkums

• Izmantojiet gatavības zondes, lai noteiktu, kad pods ir gatavs uztvert trafiku.
• Izmantojiet dzīvības zondes tikai tad, kad tās patiešām ir vajadzīgas.
• Nepareiza gatavības/dzīvības zondes izmantošana var izraisīt samazinātu pieejamību un kaskādes atteices.

Papildu materiāli par tēmu

• Kubernetes dokumenti: konfigurējiet dzīvīguma un gatavības zondes;
• Pārskatītas Kubernetes dzīvīguma un gatavības zondes: kā izvairīties no šaušanas otrā pēdā;
• NRE Labs pēcnāves pārtraukums (viņš runā arī par dzīvīgumuProbe).

Atjauninājums Nr. 1 no 2019-09-29

Par datu bāzes migrācijas init konteineriem: pievienota zemsvītras piezīme.

EJ man atgādināja par PBP: viena no problēmām saistībā ar dzīvīguma pārbaudēm ir koordinācijas trūkums starp pākstīm. Kubernetes ir Pod darbības traucējumu budžeti (PBP) lai ierobežotu lietojumprogrammas vienlaicīgu kļūdu skaitu, taču pārbaudēs netiek ņemts vērā PBP. Ideālā gadījumā mēs varētu norādīt K8s: "Restartējiet vienu podziņu, ja tā pārbaude neizdodas, taču nerestartējiet tos visus, lai nepasliktinātu situāciju."

Braiens to teica perfekti: “Izmantojiet dzīvīguma zondēšanu, kad precīzi zināt, ko labākais, ko darīt, ir iznīcināt lietojumprogrammu"(atkal, neaizraujieties).

Atjauninājums Nr. 2 no 2019-09-29

Par dokumentācijas izlasīšanu pirms lietošanas: Es izveidoju atbilstošo pieprasījumu (funkcijas pieprasījums), lai pievienotu dokumentāciju par dzīvīguma zondēm.

PS no tulka

Lasi arī mūsu emuārā:

• «Kubernetes: Pod Life";
• «7 paraugprakse konteineru lietošanai saskaņā ar Google";
• «7 Uz konteineriem balstītu lietojumu projektēšanas principi'.

Avots: www.habr.com