Pirms pāris gadiem Kubernetes jau apspriests oficiālajā GitHub emuārā. Kopš tā laika tā ir kļuvusi par standarta tehnoloģiju pakalpojumu izvietošanai. Tagad Kubernetes pārvalda ievērojamu daļu iekšējo un sabiedrisko pakalpojumu. Pieaugot mūsu klasteriem un kļūstot stingrākām veiktspējas prasībām, mēs sākām pamanīt, ka daži Kubernetes pakalpojumi sporādiski piedzīvo latentumu, ko nevarēja izskaidrot ar pašas lietojumprogrammas slodzi.

Būtībā lietojumprogrammas saskaras ar šķietami nejaušu tīkla latentumu līdz 100 ms vai vairāk, kā rezultātā rodas noildze vai atkārtojumi. Paredzams, ka pakalpojumi spēs atbildēt uz pieprasījumiem daudz ātrāk nekā 100 ms. Bet tas nav iespējams, ja pats savienojums aizņem tik daudz laika. Atsevišķi mēs novērojām ļoti ātrus MySQL vaicājumus, kam vajadzēja aizņemt milisekundes, un MySQL pabeidza milisekundēs, taču no pieprasījuma iesniedzējas lietojumprogrammas viedokļa atbilde aizņēma 100 ms vai vairāk.

Uzreiz kļuva skaidrs, ka problēma radās tikai savienojoties ar Kubernetes mezglu, pat ja zvans nāca no ārpuses Kubernetes. Vienkāršākais veids, kā atkārtot problēmu, ir tests veģetēt, kas darbojas no jebkura iekšējā resursdatora, pārbauda Kubernetes pakalpojumu noteiktā portā un sporādiski reģistrē lielu latentumu. Šajā rakstā mēs apskatīsim, kā mēs varējām izsekot šīs problēmas cēloni.

Nevajadzīgas sarežģītības novēršana ķēdē, kas noved pie neveiksmes

Atkārtojot to pašu piemēru, mēs vēlējāmies sašaurināt problēmas fokusu un noņemt nevajadzīgus sarežģītības slāņus. Sākotnēji plūsmā starp Veģetu un Kubernetes pākstīm bija pārāk daudz elementu. Lai noteiktu dziļāku tīkla problēmu, dažas no tām ir jāizslēdz.

Klients (Vegeta) izveido TCP savienojumu ar jebkuru klastera mezglu. Kubernetes darbojas kā pārklājuma tīkls (papildus esošajam datu centra tīklam), kas izmanto IPIP, tas ir, tas iekapsulē pārklājuma tīkla IP paketes datu centra IP paketēs. Pieslēdzoties pirmajam mezglam, tiek veikta tīkla adreses tulkošana Tīkla adreses tulkošana (NAT) statusful lai tulkotu Kubernetes mezgla IP adresi un portu uz IP adresi un portu pārklājuma tīklā (konkrēti, podā ar lietojumprogrammu). Ienākošajām paketēm tiek veikta apgrieztā darbību secība. Tā ir sarežģīta sistēma ar daudziem stāvokļiem un daudziem elementiem, kas tiek pastāvīgi atjaunināti un mainīti, izvietojot un pārvietojot pakalpojumus.

Lietderība tcpdump Vegeta testā ir aizkave TCP rokasspiediena laikā (starp SYN un SYN-ACK). Lai noņemtu šo nevajadzīgo sarežģītību, varat izmantot hping3 vienkāršiem “pingiem” ar SYN paketēm. Mēs pārbaudām, vai atbildes paketē ir aizkave, un pēc tam atiestatām savienojumu. Mēs varam filtrēt datus, lai iekļautu tikai paketes, kas ir lielākas par 100 ms, un iegūt vienkāršāku veidu, kā reproducēt problēmu nekā pilna tīkla 7. slāņa pārbaude pakalpojumā Vegeta. Šeit ir Kubernetes mezgla “pings”, izmantojot TCP SYN/SYN-ACK pakalpojuma “node portā” (30927) ar 10 ms intervālu, filtrējot pēc lēnākās atbildes:

theojulienne@shell ~ $ sudo hping3 172.16.47.27 -S -p 30927 -i u10000 | egrep --line-buffered 'rtt=[0-9]{3}.'


len=46 ip=172.16.47.27 ttl=59 DF id=0 sport=30927 flags=SA seq=1485 win=29200 rtt=127.1 ms
len=46 ip=172.16.47.27 ttl=59 DF id=0 sport=30927 flags=SA seq=1486 win=29200 rtt=117.0 ms
len=46 ip=172.16.47.27 ttl=59 DF id=0 sport=30927 flags=SA seq=1487 win=29200 rtt=106.2 ms
len=46 ip=172.16.47.27 ttl=59 DF id=0 sport=30927 flags=SA seq=1488 win=29200 rtt=104.1 ms
len=46 ip=172.16.47.27 ttl=59 DF id=0 sport=30927 flags=SA seq=5024 win=29200 rtt=109.2 ms

len=46 ip=172.16.47.27 ttl=59 DF id=0 sport=30927 flags=SA seq=5231 win=29200 rtt=109.2 ms

Var uzreiz veikt pirmo novērojumu. Spriežot pēc kārtas numuriem un laikiem, ir skaidrs, ka tie nav vienreizēji sastrēgumi. Kavēšanās bieži uzkrājas un galu galā tiek apstrādāta.

Tālāk mēs vēlamies noskaidrot, kuras sastāvdaļas var būt saistītas ar sastrēgumu rašanos. Varbūt šie ir daži no simtiem NAT iptables noteikumu? Vai arī ir problēmas ar IPIP tunelēšanu tīklā? Viens no veidiem, kā to pārbaudīt, ir pārbaudīt katru sistēmas posmu, to novēršot. Kas notiek, ja noņemat NAT un ugunsmūra loģiku, atstājot tikai IPIP daļu:

Par laimi, Linux ļauj viegli piekļūt tieši IP pārklājuma slānim, ja iekārta atrodas tajā pašā tīklā:

theojulienne@kube-node-client ~ $ sudo hping3 10.125.20.64 -S -i u10000 | egrep --line-buffered 'rtt=[0-9]{3}.'


len=40 ip=10.125.20.64 ttl=64 DF id=0 sport=0 flags=RA seq=7346 win=0 rtt=127.3 ms
len=40 ip=10.125.20.64 ttl=64 DF id=0 sport=0 flags=RA seq=7347 win=0 rtt=117.3 ms

len=40 ip=10.125.20.64 ttl=64 DF id=0 sport=0 flags=RA seq=7348 win=0 rtt=107.2 ms

Spriežot pēc rezultātiem, problēma joprojām pastāv! Tas izslēdz iptables un NAT. Tātad problēma ir TCP? Apskatīsim, kā notiek parastais ICMP ping:

theojulienne@kube-node-client ~ $ sudo hping3 10.125.20.64 --icmp -i u10000 | egrep --line-buffered 'rtt=[0-9]{3}.'


len=28 ip=10.125.20.64 ttl=64 id=42594 icmp_seq=104 rtt=110.0 ms
len=28 ip=10.125.20.64 ttl=64 id=49448 icmp_seq=4022 rtt=141.3 ms
len=28 ip=10.125.20.64 ttl=64 id=49449 icmp_seq=4023 rtt=131.3 ms
len=28 ip=10.125.20.64 ttl=64 id=49450 icmp_seq=4024 rtt=121.2 ms
len=28 ip=10.125.20.64 ttl=64 id=49451 icmp_seq=4025 rtt=111.2 ms
len=28 ip=10.125.20.64 ttl=64 id=49452 icmp_seq=4026 rtt=101.1 ms
len=28 ip=10.125.20.64 ttl=64 id=50023 icmp_seq=4343 rtt=126.8 ms
len=28 ip=10.125.20.64 ttl=64 id=50024 icmp_seq=4344 rtt=116.8 ms
len=28 ip=10.125.20.64 ttl=64 id=50025 icmp_seq=4345 rtt=106.8 ms

len=28 ip=10.125.20.64 ttl=64 id=59727 icmp_seq=9836 rtt=106.1 ms

Rezultāti liecina, ka problēma nav pazudusi. Varbūt tas ir IPIP tunelis? Vienkāršosim testu vēl vairāk:

Vai visas paketes tiek nosūtītas starp šiem diviem saimniekiem?

theojulienne@kube-node-client ~ $ sudo hping3 172.16.47.27 --icmp -i u10000 | egrep --line-buffered 'rtt=[0-9]{3}.'


len=46 ip=172.16.47.27 ttl=61 id=41127 icmp_seq=12564 rtt=140.9 ms
len=46 ip=172.16.47.27 ttl=61 id=41128 icmp_seq=12565 rtt=130.9 ms
len=46 ip=172.16.47.27 ttl=61 id=41129 icmp_seq=12566 rtt=120.8 ms
len=46 ip=172.16.47.27 ttl=61 id=41130 icmp_seq=12567 rtt=110.8 ms
len=46 ip=172.16.47.27 ttl=61 id=41131 icmp_seq=12568 rtt=100.7 ms
len=46 ip=172.16.47.27 ttl=61 id=9062 icmp_seq=31443 rtt=134.2 ms
len=46 ip=172.16.47.27 ttl=61 id=9063 icmp_seq=31444 rtt=124.2 ms
len=46 ip=172.16.47.27 ttl=61 id=9064 icmp_seq=31445 rtt=114.2 ms

len=46 ip=172.16.47.27 ttl=61 id=9065 icmp_seq=31446 rtt=104.2 ms

Mēs esam vienkāršojuši situāciju līdz diviem Kubernetes mezgliem, kas viens otram nosūta jebkuru paketi, pat ICMP ping. Viņi joprojām redz latentumu, ja mērķa resursdators ir "slikts" (daži sliktāki par citiem).

Tagad pēdējais jautājums: kāpēc aizkave notiek tikai kube-node serveros? Un vai tas notiek, ja kube-node ir sūtītājs vai saņēmējs? Par laimi, to ir arī diezgan viegli noskaidrot, nosūtot paketi no resursdatora ārpus Kubernetes, bet ar to pašu “zināmo sliktu” adresātu. Kā redzat, problēma nav pazudusi:

theojulienne@shell ~ $ sudo hping3 172.16.47.27 -p 9876 -S -i u10000 | egrep --line-buffered 'rtt=[0-9]{3}.'


len=46 ip=172.16.47.27 ttl=61 DF id=0 sport=9876 flags=RA seq=312 win=0 rtt=108.5 ms
len=46 ip=172.16.47.27 ttl=61 DF id=0 sport=9876 flags=RA seq=5903 win=0 rtt=119.4 ms
len=46 ip=172.16.47.27 ttl=61 DF id=0 sport=9876 flags=RA seq=6227 win=0 rtt=139.9 ms

len=46 ip=172.16.47.27 ttl=61 DF id=0 sport=9876 flags=RA seq=7929 win=0 rtt=131.2 ms

Pēc tam mēs izpildīsim tos pašus pieprasījumus no iepriekšējā avota kube-node ārējam resursdatoram (kas izslēdz avota resursdatoru, jo ping ietver gan RX, gan TX komponentu):

theojulienne@kube-node-client ~ $ sudo hping3 172.16.33.44 -p 9876 -S -i u10000 | egrep --line-buffered 'rtt=[0-9]{3}.' ^C --- 172.16.33.44 hping statistic --- 22352 packets transmitted, 22350 packets received, 1% packet loss round-trip min/avg/max = 0.2/7.6/1010.6 ms

Pārbaudot latentuma pakešu uztveršanu, mēs ieguvām papildu informāciju. Konkrēti, ja sūtītājs (apakšā) redz šo taimautu, bet adresāts (augšējais) neredz - skatiet kolonnu Delta (sekundēs):

Turklāt, ja paskatās uz atšķirību TCP un ICMP pakešu secībā (pēc kārtas numuriem) saņēmēja pusē, ICMP paketes vienmēr nonāk tajā pašā secībā, kādā tās tika nosūtītas, bet ar atšķirīgu laiku. Tajā pašā laikā TCP paketes dažkārt pāriet, un dažas no tām iestrēgst. Jo īpaši, ja pārbaudāt SYN pakešu portus, tie ir kārtībā sūtītāja pusē, bet ne saņēmēja pusē.

Ir neliela atšķirība, kā tīkla kartes mūsdienu serveri (piemēram, tie, kas atrodas mūsu datu centrā) apstrādā paketes, kas satur TCP vai ICMP. Kad tiek saņemta pakete, tīkla adapteris to "jauc katrā savienojumā", tas ir, mēģina sadalīt savienojumus rindās un nosūtīt katru rindu uz atsevišķu procesora kodolu. TCP gadījumā šis hash ietver gan avota, gan galamērķa IP adresi un portu. Citiem vārdiem sakot, katrs savienojums tiek sajaukts (potenciāli) atšķirīgi. ICMP gadījumā tiek jauktas tikai IP adreses, jo nav portu.

Vēl viens jauns novērojums: šajā periodā mēs redzam ICMP aizkavi visos sakaros starp diviem resursdatoriem, bet TCP ne. Tas norāda, ka iemesls, visticamāk, ir saistīts ar RX rindas jaukšanu: pārslodze gandrīz noteikti ir saistīta ar RX pakešu apstrādi, nevis atbilžu nosūtīšanu.

Tas izslēdz pakešu sūtīšanu no iespējamo iemeslu saraksta. Tagad mēs zinām, ka pakešu apstrādes problēma dažos Kube-node serveros ir uztveršanas pusē.

Izpratne par pakešu apstrādi Linux kodolā

Lai saprastu, kāpēc problēma rodas dažu kube mezglu serveru uztvērējā, apskatīsim, kā Linux kodols apstrādā paketes.

Atgriežoties pie vienkāršākās tradicionālās ieviešanas, tīkla karte saņem paketi un nosūta pārtraukt Linux kodolu, ka ir pakotne, kas ir jāapstrādā. Kodols aptur citu darbu, pārslēdz kontekstu uz pārtraukumu apstrādātāju, apstrādā paketi un pēc tam atgriežas pie pašreizējiem uzdevumiem.

Šī konteksta pārslēgšana ir lēna: latentums, iespējams, nebija pamanāms 10 Mbps tīkla kartēs 90. gados, taču mūsdienu 10 G kartēs ar maksimālo caurlaidspēju 15 miljoni pakešu sekundē katrs neliela astoņu kodolu servera kodols var tikt pārtraukts miljoniem. reizes sekundē.

Lai nepārtraukti netiktu apstrādāti pārtraukumi, pirms daudziem gadiem pievienoja Linux NAPI: tīkla API, ko izmanto visi mūsdienu draiveri, lai uzlabotu veiktspēju lielā ātrumā. Pie maziem ātrumiem kodols joprojām saņem pārtraukumus no tīkla kartes vecajā veidā. Kad tiek saņemts pietiekami daudz pakešu, kas pārsniedz slieksni, kodols atspējo pārtraukumus un tā vietā sāk aptaujāt tīkla adapteri un savākt paketes gabalos. Apstrāde tiek veikta softirq, tas ir, in programmatūras pārtraukumu konteksts pēc sistēmas izsaukumiem un aparatūras pārtraukumiem, kad kodols (pretēji lietotāja vietai) jau darbojas.

Tas ir daudz ātrāk, taču rada citu problēmu. Ja pakešu ir par daudz, tad viss laiks tiek tērēts pakešu apstrādei no tīkla kartes, un lietotāja telpas procesiem nav laika šīs rindas reāli iztukšot (nolasot no TCP savienojumiem utt.). Galu galā rindas piepildās, un mēs sākam mest paciņas. Mēģinot atrast līdzsvaru, kodols nosaka budžetu maksimālajam softirq kontekstā apstrādāto pakešu skaitam. Kad šis budžets ir pārsniegts, tiek pamodināts atsevišķs pavediens ksoftirqd (jūs redzēsit vienu no tiem ps vienam kodolam), kas apstrādā šos softirq ārpus parastā syscall/pārtraukšanas ceļa. Šis pavediens ir ieplānots, izmantojot standarta procesu plānotāju, kas mēģina taisnīgi piešķirt resursus.

Izpētījis, kā kodols apstrādā paketes, jūs varat redzēt, ka pastāv zināma pārslodzes iespējamība. Ja softirq zvani tiek saņemti retāk, paketēm būs kādu laiku jāgaida, lai tās tiktu apstrādātas tīkla kartes RX rindā. Tas var būt saistīts ar kādu uzdevumu, kas bloķē procesora kodolu, vai kaut kas cits neļauj kodolam darboties softirq.

Apstrādes sašaurināšana līdz kodolam vai metodei

Softirq kavēšanās pagaidām ir tikai minējums. Bet tam ir jēga, un mēs zinām, ka redzam kaut ko ļoti līdzīgu. Tātad nākamais solis ir apstiprināt šo teoriju. Un, ja tas apstiprinās, tad atrodiet kavēšanās iemeslu.

Atgriezīsimies pie mūsu lēnajām paketēm:

len=46 ip=172.16.53.32 ttl=61 id=29573 icmp_seq=1953 rtt=99.3 ms


len=46 ip=172.16.53.32 ttl=61 id=29574 icmp_seq=1954 rtt=89.3 ms
len=46 ip=172.16.53.32 ttl=61 id=29575 icmp_seq=1955 rtt=79.2 ms
len=46 ip=172.16.53.32 ttl=61 id=29576 icmp_seq=1956 rtt=69.1 ms
len=46 ip=172.16.53.32 ttl=61 id=29577 icmp_seq=1957 rtt=59.1 ms
len=46 ip=172.16.53.32 ttl=61 id=29790 icmp_seq=2070 rtt=75.7 ms
len=46 ip=172.16.53.32 ttl=61 id=29791 icmp_seq=2071 rtt=65.6 ms

len=46 ip=172.16.53.32 ttl=61 id=29792 icmp_seq=2072 rtt=55.5 ms

Kā minēts iepriekš, šīs ICMP paketes tiek sajauktas vienā RX NIC rindā un apstrādātas ar vienu CPU kodolu. Ja vēlamies saprast, kā darbojas Linux, ir noderīgi zināt, kur (kurā CPU kodolā) un kā (softirq, ksoftirqd) šīs pakotnes tiek apstrādātas, lai izsekotu procesam.

Tagad ir pienācis laiks izmantot rīkus, kas ļauj pārraudzīt Linux kodolu reāllaikā. Šeit mēs izmantojām BCC. Šis rīku komplekts ļauj rakstīt mazas C programmas, kas kodolā piesaista patvaļīgas funkcijas un buferē notikumus lietotāja vietas Python programmā, kas var tos apstrādāt un atgriezt rezultātu. Patvaļīgu funkciju piesaistīšana kodolam ir grūts bizness, taču utilīta ir paredzēta maksimālai drošībai un ir paredzēta, lai izsekotu tieši tādas ražošanas problēmas, kuras nav viegli reproducēt testa vai izstrādes vidē.

Plāns šeit ir vienkāršs: mēs zinām, ka kodols apstrādā šos ICMP ping, tāpēc mēs izmantosim kodola funkciju. icmp_echo, kas pieņem ienākošo ICMP atbalss pieprasījuma paketi un sāk ICMP atbalss atbildes sūtīšanu. Mēs varam identificēt paketi, palielinot icmp_seq numuru, kas parāda hping3 iepriekš.

Kods bcc skripts izskatās sarežģīti, bet tas nav tik biedējoši, kā šķiet. Funkcija icmp_echo nodod struct sk_buff *skb: Šī ir pakete ar "atbalss pieprasījumu". Mēs varam to izsekot, izvilkt secību echo.sequence (kas salīdzina ar icmp_seq ar hping3 выше) un nosūtiet to uz lietotāja vietu. Ir arī ērti tvert pašreizējā procesa nosaukumu/id. Tālāk ir norādīti rezultāti, kurus mēs redzam tieši, kodolam apstrādājot paketes:

TGID PID PROCESA NOSAUKUMS ICMP_SEQ
0 0 mijmaiņa/11 770
0 0 mijmaiņa/11 771
0 0 mijmaiņa/11 772
0 0 mijmaiņa/11 773
0 0 mijmaiņa/11 774
20041 20086 Prometejs 775
0 0 mijmaiņa/11 776
0 0 mijmaiņa/11 777
0 0 mijmaiņa/11 778
4512 4542 spieķi-ziņojumi-s 779

Te gan jāatzīmē, ka kontekstā softirq procesi, kas veica sistēmas izsaukumus, parādīsies kā "procesi", lai gan patiesībā kodols ir tas, kas droši apstrādā paketes kodola kontekstā.

Izmantojot šo rīku, mēs varam saistīt konkrētus procesus ar konkrētām pakotnēm, kas parāda aizkavi hping3. Padarīsim to vienkāršu grep par šo uztveršanu noteiktām vērtībām icmp_seq. Paketes, kas atbilst iepriekš minētajām icmp_seq vērtībām, tika atzīmētas kopā ar to RTT, ko novērojām iepriekš (iekavās ir norādītas paredzamās RTT vērtības paketēm, kuras izfiltrējām, jo RTT vērtības bija mazākas par 50 ms):

TGID PID PROCESA NOSAUKUMS ICMP_SEQ ** RTT
--
10137 10436 cadvisor 1951.g
10137 10436 cadvisor 1952.g
76 76 ksoftirqd/11 1953 ** 99ms
76 76 ksoftirqd/11 1954 ** 89ms
76 76 ksoftirqd/11 1955 ** 79ms
76 76 ksoftirqd/11 1956 ** 69ms
76 76 ksoftirqd/11 1957 ** 59ms
76 76 ksoftirqd/11 1958** (49 ms)
76 76 ksoftirqd/11, 1959 ** (39 ms)
76 76 ksoftirqd/11 1960 ** (29 ms)
76 76 ksoftirqd/11, 1961 ** (19 ms)
76 76 ksoftirqd/11, 1962 ** (9 ms)
--
10137 10436 cadvisor 2068
10137 10436 cadvisor 2069
76 76 ksoftirqd/11 2070 ** 75 ms
76 76 ksoftirqd/11 2071 ** 65 ms
76 76 ksoftirqd/11 2072 ** 55 ms
76 76 ksoftirqd/11 2073** (45 ms)
76 76 ksoftirqd/11 2074** (35 ms)
76 76 ksoftirqd/11 2075 ** (25 ms)
76 76 ksoftirqd/11 2076 ** (15 ms)
76 76 ksoftirqd/11 2077** (5 ms)

Rezultāti mums saka vairākas lietas. Pirmkārt, visas šīs pakotnes apstrādā konteksts ksoftirqd/11. Tas nozīmē, ka šim konkrētajam mašīnu pārim ICMP paketes tika sajauktas līdz 11. kodolam saņemšanas galā. Mēs arī redzam, ka ikreiz, kad ir iestrēgums, ir paketes, kas tiek apstrādātas sistēmas izsaukuma kontekstā cadvisor. Pēc tam ksoftirqd pārņem uzdevumu un apstrādā uzkrāto rindu: tieši tik pakešu skaitu, kas ir sakrājušās pēc cadvisor.

Tas, ka tieši pirms tam vienmēr strādā cadvisor, nozīmē viņa iesaistīšanos problēmas risināšanā. Ironiski, mērķis cadvisor - "analizēt resursu lietojumu un darbināmo konteineru veiktspējas raksturlielumus", nevis izraisīt šo veiktspējas problēmu.

Tāpat kā ar citiem konteineru aspektiem, šie visi ir ļoti uzlaboti rīki, un var rasties darbības problēmas dažos neparedzētos apstākļos.

Ko dara cadvisor, kas palēnina pakešu rindu?

Tagad mums ir diezgan laba izpratne par to, kā notiek avārija, kāds process to izraisa un kurā CPU. Mēs redzam, ka cietās bloķēšanas dēļ Linux kodolam nav laika ieplānot ksoftirqd. Un mēs redzam, ka paketes tiek apstrādātas kontekstā cadvisor. Ir loģiski to pieņemt cadvisor palaiž lēnu syscall, pēc kuras tiek apstrādātas visas tajā laikā uzkrātās paketes:

Tā ir teorija, bet kā to pārbaudīt? Mēs varam izsekot CPU kodolam šajā procesā, atrast vietu, kur pakešu skaits pārsniedz budžetu un tiek izsaukts ksoftirqd, un pēc tam paskatīties nedaudz tālāk, lai redzētu, kas tieši pirms šī punkta darbojās CPU kodolā. . Tas ir tāpat kā ik pēc dažām milisekundēm veikt CPU rentgenu. Tas izskatīsies apmēram šādi:

Ērti to visu var izdarīt ar esošajiem instrumentiem. Piemēram, ideāls ieraksts pārbauda doto CPU kodolu noteiktā frekvencē un var ģenerēt izsaukumu grafiku uz darbojošos sistēmu, iekļaujot gan lietotāja vietu, gan Linux kodolu. Varat paņemt šo ierakstu un apstrādāt to, izmantojot nelielu programmas dakšiņu FlameGraph no Brendana Grega, kas saglabā steka izsekošanas kārtību. Mēs varam saglabāt vienas rindiņas steka trases ik pēc 1 ms un pēc tam izcelt un saglabāt paraugu 100 milisekundes pirms trasēšanas ksoftirqd:

# record 999 times a second, or every 1ms with some offset so not to align exactly with timers sudo perf record -C 11 -g -F 999 # take that recording and make a simpler stack trace. sudo perf script 2>/dev/null | ./FlameGraph/stackcollapse-perf-ordered.pl | grep ksoftir -B 100

Lūk, rezultāti:

(сотни следов, которые выглядят похожими)

cadvisor;[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];entry_SYSCALL_64_after_swapgs;do_syscall_64;sys_read;vfs_read;seq_read;memcg_stat_show;mem_cgroup_nr_lru_pages;mem_cgroup_node_nr_lru_pages cadvisor;[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];entry_SYSCALL_64_after_swapgs;do_syscall_64;sys_read;vfs_read;seq_read;memcg_stat_show;mem_cgroup_nr_lru_pages;mem_cgroup_node_nr_lru_pages cadvisor;[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];entry_SYSCALL_64_after_swapgs;do_syscall_64;sys_read;vfs_read;seq_read;memcg_stat_show;mem_cgroup_iter cadvisor;[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];entry_SYSCALL_64_after_swapgs;do_syscall_64;sys_read;vfs_read;seq_read;memcg_stat_show;mem_cgroup_nr_lru_pages;mem_cgroup_node_nr_lru_pages cadvisor;[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];[cadvisor];entry_SYSCALL_64_after_swapgs;do_syscall_64;sys_read;vfs_read;seq_read;memcg_stat_show;mem_cgroup_nr_lru_pages;mem_cgroup_node_nr_lru_pages ksoftirqd/11;ret_from_fork;kthread;kthread;smpboot_thread_fn;smpboot_thread_fn;run_ksoftirqd;__do_softirq;net_rx_action;ixgbe_poll;ixgbe_clean_rx_irq;napi_gro_receive;netif_receive_skb_internal;inet_gro_receive;bond_handle_frame;__netif_receive_skb_core;ip_rcv_finish;ip_rcv;ip_forward_finish;ip_forward;ip_finish_output;nf_iterate;ip_output;ip_finish_output2;__dev_queue_xmit;dev_hard_start_xmit;ipip_tunnel_xmit;ip_tunnel_xmit;iptunnel_xmit;ip_local_out;dst_output;__ip_local_out;nf_hook_slow;nf_iterate;nf_conntrack_in;generic_packet;ipt_do_table;set_match_v4;ip_set_test;hash_net4_kadt;ixgbe_xmit_frame_ring;swiotlb_dma_mapping_error;hash_net4_test ksoftirqd/11;ret_from_fork;kthread;kthread;smpboot_thread_fn;smpboot_thread_fn;run_ksoftirqd;__do_softirq;net_rx_action;gro_cell_poll;napi_gro_receive;netif_receive_skb_internal;inet_gro_receive;__netif_receive_skb_core;ip_rcv_finish;ip_rcv;ip_forward_finish;ip_forward;ip_finish_output;nf_iterate;ip_output;ip_finish_output2;__dev_queue_xmit;dev_hard_start_xmit;dev_queue_xmit_nit;packet_rcv;tpacket_rcv;sch_direct_xmit;validate_xmit_skb_list;validate_xmit_skb;netif_skb_features;ixgbe_xmit_frame_ring;swiotlb_dma_mapping_error;__dev_queue_xmit;dev_hard_start_xmit;__bpf_prog_run;__bpf_prog_run

Šeit ir daudz lietu, taču galvenais ir tas, ka mēs atrodam modeli “cadvisor before ksoftirqd”, ko redzējām iepriekš ICMP izsekotājs. Ko tas nozīmē?

Katra līnija ir CPU izsekošana noteiktā laika brīdī. Katrs līnijas izsaukums tiek atdalīts ar semikolu. Līniju vidū mēs redzam, ka tiek izsaukts syscall: read(): .... ;do_syscall_64;sys_read; .... Tātad cadvisor pavada daudz laika sistēmas zvanam read()kas saistīti ar funkcijām mem_cgroup_* (zvanu kaudzes augšdaļa/līnijas beigas).

Ir neērti zvana trasē redzēt, kas tieši tiek nolasīts, tāpēc palaidīsim strace un paskatīsimies, ko dara cadvisor, un atradīsim sistēmas zvanus, kas garāki par 100 ms:

theojulienne@kube-node-bad ~ $ sudo strace -p 10137 -T -ff 2>&1 | egrep '<0.[1-9]' [pid 10436] <... futex resumed> ) = 0 <0.156784> [pid 10432] <... futex resumed> ) = 0 <0.258285> [pid 10137] <... futex resumed> ) = 0 <0.678382> [pid 10384] <... futex resumed> ) = 0 <0.762328> [pid 10436] <... read resumed> "cache 154234880nrss 507904nrss_h"..., 4096) = 658 <0.179438> [pid 10384] <... futex resumed> ) = 0 <0.104614> [pid 10436] <... futex resumed> ) = 0 <0.175936> [pid 10436] <... read resumed> "cache 0nrss 0nrss_huge 0nmapped_"..., 4096) = 577 <0.228091> [pid 10427] <... read resumed> "cache 0nrss 0nrss_huge 0nmapped_"..., 4096) = 577 <0.207334> [pid 10411] <... epoll_ctl resumed> ) = 0 <0.118113> [pid 10382] <... pselect6 resumed> ) = 0 (Timeout) <0.117717> [pid 10436] <... read resumed> "cache 154234880nrss 507904nrss_h"..., 4096) = 660 <0.159891> [pid 10417] <... futex resumed> ) = 0 <0.917495> [pid 10436] <... futex resumed> ) = 0 <0.208172> [pid 10417] <... futex resumed> ) = 0 <0.190763> [pid 10417] <... read resumed> "cache 0nrss 0nrss_huge 0nmapped_"..., 4096) = 576 <0.154442>

Kā jūs varētu gaidīt, mēs redzam lēnus zvanus read(). No lasīšanas darbību satura un konteksta mem_cgroup ir skaidrs, ka šie izaicinājumi read() atsaukties uz failu memory.stat, kas parāda atmiņas lietojumu un cgroup ierobežojumus (Docker resursu izolācijas tehnoloģija). Cadvisor rīks vaicā šo failu, lai iegūtu informāciju par konteineru resursu lietojumu. Pārbaudīsim, vai kodols vai cadvisor nedara kaut ko neparedzētu:

theojulienne@kube-node-bad ~ $ time cat /sys/fs/cgroup/memory/memory.stat >/dev/null

real 0m0.153s user 0m0.000s sys 0m0.152s theojulienne@kube-node-bad ~ $

Tagad mēs varam atveidot kļūdu un saprast, ka Linux kodols saskaras ar patoloģiju.

Kāpēc lasīšanas darbība ir tik lēna?

Šajā posmā ir daudz vieglāk atrast ziņojumus no citiem lietotājiem par līdzīgām problēmām. Kā izrādījās, cadvisor tracker par šo kļūdu tika ziņots kā pārmērīga CPU izmantošanas problēma, vienkārši neviens nepamanīja, ka latentums nejauši tiek atspoguļots arī tīkla stekā. Tiešām tika pamanīts, ka cadvisor patērē vairāk CPU laika nekā gaidīts, taču tam netika piešķirta liela nozīme, jo mūsu serveriem ir daudz CPU resursu, tāpēc problēma netika rūpīgi izpētīta.

Problēma ir tā, ka cgroups ņem vērā atmiņas izmantošanu nosaukumvietā (konteinerā). Kad visi procesi šajā cgrupā iziet, Docker atbrīvo atmiņas cgrupu. Tomēr "atmiņa" nav tikai procesa atmiņa. Lai gan pati procesa atmiņa vairs netiek izmantota, šķiet, ka kodols joprojām piešķir kešatmiņā saglabāto saturu, piemēram, dentries un inodes (direktoriju un failu metadatus), kas tiek saglabāti atmiņas cgrupā. No problēmas apraksta:

zombie cgroups: cgroups, kurām nav procesu un ir izdzēstas, bet joprojām ir atvēlēta atmiņa (manā gadījumā no dentry cache, bet to var arī piešķirt no lapas kešatmiņas vai tmpfs).

Kodola visu kešatmiņā esošo lapu pārbaude, atbrīvojot cgrupu, var būt ļoti lēna, tāpēc tiek izvēlēts slinks process: pagaidiet, līdz šīs lapas atkal tiek pieprasītas, un tad beidzot notīriet cgrupu, kad patiešām ir nepieciešama atmiņa. Līdz šim brīdim, apkopojot statistiku, joprojām tiek ņemta vērā cgroup.

No veiktspējas viedokļa viņi upurēja atmiņu veiktspējai: paātrina sākotnējo tīrīšanu, atstājot daļu kešatmiņas. Tas ir labi. Kad kodols izmanto pēdējo kešatmiņā saglabāto atmiņu, cgrupa galu galā tiek notīrīta, tāpēc to nevar saukt par "noplūdi". Diemžēl konkrēta meklēšanas mehānisma īstenošana memory.stat šajā kodola versijā (4.9) kopā ar milzīgo atmiņas apjomu mūsu serveros nozīmē, ka ir nepieciešams daudz ilgāks laiks, lai atjaunotu jaunākos kešatmiņā saglabātos datus un notīrītu cgroup zombijus.

Izrādās, ka dažos mūsu mezglos bija tik daudz cgroup zombiju, ka lasīšanas un latentuma ilgums pārsniedza sekundi.

Cadvisor problēmas risinājums ir nekavējoties atbrīvot dentries/inodes kešatmiņas visā sistēmā, kas nekavējoties novērš lasīšanas latentumu, kā arī tīkla latentumu resursdatorā, jo, notīrot kešatmiņu, tiek ieslēgtas kešatmiņā saglabātās cgroup zombiju lapas, un tās arī tiek atbrīvotas. Tas nav risinājums, bet apstiprina problēmas cēloni.

Izrādījās, ka jaunākās kodola versijās (4.19+) zvanu veiktspēja tika uzlabota memory.stat, tāpēc, pārejot uz šo kodolu, problēma tika novērsta. Tajā pašā laikā mums bija rīki, lai atklātu problemātiskos mezglus Kubernetes klasteros, graciozi tos iztukšotu un atsāknētu. Mēs izķemmējām visas kopas, atradām mezglus ar pietiekami augstu latentumu un pārstartējām tos. Tas deva mums laiku atjaunināt OS atlikušajos serveros.

Summējot

Tā kā šī kļūda apturēja RX NIC rindas apstrādi uz simtiem milisekundēm, tā vienlaikus izraisīja gan lielu latentumu īsiem savienojumiem, gan vidēja savienojuma latentumu, piemēram, starp MySQL pieprasījumiem un atbildes paketēm.

Vissvarīgāko sistēmu, piemēram, Kubernetes, veiktspējas izpratne un uzturēšana ir ļoti svarīga visu uz tām balstīto pakalpojumu uzticamībai un ātrumam. Katra jūsu darbinātā sistēma gūst labumu no Kubernetes veiktspējas uzlabojumiem.

Avots: www.habr.com

Tīkla latentuma atkļūdošana pakalpojumā Kubernetes