🥇Tinder pāreja uz Kubernetes

Piezīme. tulk.: pasaulslavenā pakalpojuma Tinder darbinieki nesen dalījās ar dažām tehniskām detaļām par savas infrastruktūras migrēšanu uz Kubernetes. Process ilga gandrīz divus gadus, un tā rezultātā K8s tika uzsākta ļoti liela mēroga platforma, kas sastāv no 200 pakalpojumiem, kas izvietoti 48 tūkstošos konteineru. Ar kādām interesantām grūtībām saskārās Tinder inženieri un pie kādiem rezultātiem viņi nonāca?Izlasi šo tulkojumu.

Kāpēc?

Gandrīz pirms diviem gadiem Tinder nolēma pārvietot savu platformu uz Kubernetes. Kubernetes ļautu Tinder komandai ievietot konteinerus un pāriet uz ražošanu ar minimālu piepūli, izmantojot nemainīgu izvietošanu (nemainīga izvietošana). Šajā gadījumā lietojumprogrammu komplektu, to izvietošanu un pašu infrastruktūru unikāli definētu kods.

Mēs arī meklējām risinājumu mērogojamības un stabilitātes problēmai. Kad mērogošana kļuva kritiska, mums bieži bija jāgaida vairākas minūtes, līdz parādījās jauni EC2 gadījumi. Ideja palaist konteinerus un sākt apkalpot satiksmi sekundēs, nevis minūtēs, mums kļuva ļoti pievilcīga.

Process izrādījās grūts. Mūsu migrācijas laikā 2019. gada sākumā Kubernetes klasteris sasniedza kritisko masu, un mēs sākām saskarties ar dažādām problēmām trafika apjoma, klastera lieluma un DNS dēļ. Pa ceļam mēs atrisinājām daudzas interesantas problēmas, kas saistītas ar 200 pakalpojumu migrēšanu un Kubernetes klastera uzturēšanu, kas sastāv no 1000 mezgliem, 15000 48000 podiem un XNUMX XNUMX strādājošiem konteineriem.

Kā?

Kopš 2018. gada janvāra esam izgājuši cauri dažādiem migrācijas posmiem. Mēs sākām, ievietojot visus savus pakalpojumus konteineros un izvietojot tos Kubernetes testa mākoņa vidēs. Sākot ar oktobri, mēs sākām metodisku visu esošo pakalpojumu migrēšanu uz Kubernetes. Līdz nākamā gada martam mēs pabeidzām migrēšanu, un tagad Tinder platforma darbojas tikai Kubernetes.

Kubernetes attēlu veidošana

Mums ir vairāk nekā 30 pirmkoda krātuves mikropakalpojumiem, kas darbojas Kubernetes klasterī. Kods šajās krātuvēs ir rakstīts dažādās valodās (piemēram, Node.js, Java, Scala, Go) ar vairākām izpildlaika vidēm vienai valodai.

Būvsistēma ir izstrādāta, lai nodrošinātu pilnībā pielāgojamu “būvējuma kontekstu” katram mikropakalpojumam. Tas parasti sastāv no Dockerfile un čaulas komandu saraksta. To saturs ir pilnībā pielāgojams, un tajā pašā laikā visi šie būvēšanas konteksti ir rakstīti saskaņā ar standartizētu formātu. Būvēšanas kontekstu standartizēšana ļauj vienai būvēšanas sistēmai apstrādāt visus mikropakalpojumus.

Attēls 1-1. Standartizēts veidošanas process, izmantojot Builder konteineru

Lai sasniegtu maksimālu konsekvenci starp izpildlaikiem (izpildlaika vides) tas pats veidošanas process tiek izmantots izstrādes un testēšanas laikā. Mēs saskārāmies ar ļoti interesantu izaicinājumu: mums bija jāizstrādā veids, kā nodrošināt būvniecības vides konsekvenci visā platformā. Lai to panāktu, visi montāžas procesi tiek veikti īpašā konteinerā. Celtnieks.

Viņa konteinera ieviešanai bija nepieciešamas uzlabotas Docker metodes. Builder manto vietējo lietotāja ID un noslēpumus (piemēram, SSH atslēgu, AWS akreditācijas datus utt.), kas nepieciešami, lai piekļūtu privātajām Tinder krātuvēm. Tas pievieno lokālos direktorijus, kuros ir avoti, lai dabiski uzglabātu būvēšanas artefaktus. Šī pieeja uzlabo veiktspēju, jo novērš nepieciešamību kopēt būvējuma artefaktus starp Builder konteineru un resursdatoru. Saglabātos būvējuma artefaktus var izmantot atkārtoti bez papildu konfigurācijas.

Dažiem pakalpojumiem mums bija jāizveido cits konteiners, lai kartētu kompilācijas vidi ar izpildlaika vidi (piemēram, Node.js bcrypt bibliotēka instalēšanas laikā ģenerē platformai raksturīgus bināros artefaktus). Kompilācijas procesa laikā prasības dažādiem pakalpojumiem var atšķirties, un galīgais Dockerfile tiek apkopots lidojuma laikā.

Kubernetes klasteru arhitektūra un migrācija

Klasteru lieluma pārvaldība

Mēs nolēmām izmantot kube-aws automatizētai klasteru izvietošanai Amazon EC2 gadījumos. Pašā sākumā viss darbojās vienā kopējā mezglu baseinā. Mēs ātri sapratām, ka darba slodzes ir jānodala pēc lieluma un gadījumu veida, lai efektīvāk izmantotu resursus. Loģika bija tāda, ka vairāku ielādētu vairāku vītņu apvidu palaišana veiktspējas ziņā izrādījās paredzamāka nekā to līdzāspastāvēšana ar lielu skaitu viena vītnes apvidu.

Beigās vienojāmies:

m5.4xliels — monitoringam (Prometejs);
c5.4xliels - Node.js darba slodzei (vienpavedienu darba slodze);
c5.2xliels - Java un Go (daudzpavedienu darba slodze);
c5.4xliels — vadības panelim (3 mezgli).

Migrācija

Viens no sagatavošanās posmiem, lai pārietu no vecās infrastruktūras uz Kubernetes, bija esošās tiešās komunikācijas novirzīšana starp pakalpojumiem uz jaunajiem slodzes balansētājiem (Elastīgie slodzes balansētāji (ELB). Tie tika izveidoti noteiktā virtuālā privātā mākoņa (VPC) apakštīklā. Šis apakštīkls tika savienots ar Kubernetes VPC. Tas ļāva mums pakāpeniski migrēt moduļus, neņemot vērā īpašo pakalpojumu atkarību secību.

Šie galapunkti tika izveidoti, izmantojot svērtās DNS ierakstu kopas, kurās CNAME norādīja uz katru jauno ELB. Lai pārslēgtos, mēs pievienojām jaunu ierakstu, kas norāda uz jauno Kubernetes pakalpojuma ELB ar svaru 0. Pēc tam ieraksta kopas Time To Live (TTL) iestatījām uz 0. Pēc tam tika iestatīts vecais un jaunais svars. lēnām pielāgots, un galu galā 100% slodzes tika nosūtīta uz jaunu serveri. Pēc pārslēgšanas TTL vērtība atgriezās atbilstošākā līmenī.

Mūsu rīcībā esošie Java moduļi varēja tikt galā ar zemu TTL DNS, bet Node lietojumprogrammas to nevarēja. Viens no inženieriem pārrakstīja daļu savienojuma pūla koda un iesaiņoja to pārvaldniekā, kas atjaunināja kopas ik pēc 60 sekundēm. Izvēlētā pieeja darbojās ļoti labi un bez manāmas veiktspējas pasliktināšanās.

Nodarbības

Tīkla auduma ierobežojumi

8. gada 2019. janvāra agrā rītā Tinder platforma negaidīti avarēja. Reaģējot uz nesaistītu platformas latentuma palielināšanos agrāk tajā pašā rītā, klastera pākstu un mezglu skaits palielinājās. Tas izraisīja ARP kešatmiņas izsmelšanu visos mūsu mezglos.

Ir trīs Linux opcijas, kas saistītas ar ARP kešatmiņu:

(avots)

gc_thresh3 - tas ir stingrs ierobežojums. Ierakstu “kaimiņu tabulas pārpilde” parādīšanās žurnālā nozīmēja, ka pat pēc sinhronās atkritumu savākšanas (GC) ARP kešatmiņā nebija pietiekami daudz vietas, lai saglabātu blakus esošo ierakstu. Šajā gadījumā kodols vienkārši pilnībā izmeta paketi.

Mēs izmantojam Flaneļa kā tīkla audums Kubernetes. Paketes tiek pārsūtītas, izmantojot VXLAN. VXLAN ir L2 tunelis, kas izveidots virs L3 tīkla. Tehnoloģija izmanto MAC-in-UDP (MAC Address-in-User Datagram Protocol) iekapsulāciju un ļauj paplašināt 2. slāņa tīkla segmentus. Transporta protokols fiziskā datu centra tīklā ir IP plus UDP.

Attēls 2-1. Flaneļa diagramma (avots)

Attēls 2-2. VXLAN pakotne (avots)

Katrs Kubernetes darbinieka mezgls piešķir virtuālo adrešu telpu ar /24 masku no lielāka /9 bloka. Katram mezglam tas ir nozīmē viens ieraksts maršrutēšanas tabulā, viens ieraksts ARP tabulā (interfeisā flanel.1) un viens ieraksts komutācijas tabulā (FDB). Tie tiek pievienoti, pirmo reizi startējot darbinieka mezglu vai katru reizi, kad tiek atklāts jauns mezgls.

Turklāt mezgla-pod (vai pod-pod) komunikācija galu galā notiek caur saskarni eth0 (kā parādīts iepriekš redzamajā flaneļa diagrammā). Tā rezultātā ARP tabulā tiek parādīts papildu ieraksts katram atbilstošajam avota un mērķa resursdatoram.

Mūsu vidē šāda veida komunikācija ir ļoti izplatīta. Kubernetes pakalpojumu objektiem tiek izveidots ELB, un Kubernetes reģistrē katru mezglu ar ELB. ELB neko nezina par podiem, un atlasītais mezgls var nebūt paketes galamērķis. Lieta ir tāda, ka tad, kad mezgls saņem paketi no ELB, tas to uzskata, ņemot vērā noteikumus iptables konkrētam pakalpojumam un nejauši izvēlas podziņu citā mezglā.

Kļūmes brīdī klasterī bija 605 mezgli. Iepriekš minēto iemeslu dēļ ar to pietika, lai pārvarētu nozīmi gc_thresh3, kas ir noklusējuma vērtība. Kad tas notiek, ne tikai sāk izmest paketes, bet arī visa Flanel virtuālā adrešu telpa ar /24 masku pazūd no ARP tabulas. Node-pod komunikācija un DNS vaicājumi ir pārtraukti (DNS tiek mitināts klasterī; sīkāku informāciju lasiet vēlāk šajā rakstā).

Lai atrisinātu šo problēmu, jums ir jāpalielina vērtības gc_thresh1, gc_thresh2 и gc_thresh3 un restartējiet Flanel, lai atkārtoti reģistrētu trūkstošos tīklus.

Negaidīta DNS mērogošana

Migrācijas procesā mēs aktīvi izmantojām DNS, lai pārvaldītu trafiku un pakāpeniski pārsūtītu pakalpojumus no vecās infrastruktūras uz Kubernetes. Mēs iestatījām salīdzinoši zemas TTL vērtības saistītajiem ierakstu komplektiem maršrutā53. Kad vecā infrastruktūra darbojās EC2 gadījumos, mūsu atrisinātāja konfigurācija norādīja uz Amazon DNS. Mēs to uztvērām kā pašsaprotamu, un zemā TTL ietekme uz mūsu pakalpojumiem un Amazon pakalpojumiem (piemēram, DynamoDB) lielākoties palika nepamanīta.

Migrējot pakalpojumus uz Kubernetes, mēs atklājām, ka DNS apstrādā 250 tūkstošus pieprasījumu sekundē. Tā rezultātā lietojumprogrammām sāka rasties pastāvīgas un nopietnas DNS vaicājumu noildzes. Tas notika, neskatoties uz neticamajiem centieniem optimizēt un pārslēgt DNS nodrošinātāju uz CoreDNS (kas maksimālās slodzes laikā sasniedza 1000 podi, kas darbojas ar 120 kodoliem).

Pētot citus iespējamos cēloņus un risinājumus, mēs atklājām raksts, aprakstot sacensību apstākļus, kas ietekmē pakešu filtrēšanas sistēmu netfilter operētājsistēmā Linux. Novērotās noildzes kopā ar pieaugošu skaitītāju ievietot_neizdevās flanela saskarnē bija saskaņā ar raksta atklājumiem.

Problēma rodas avota un galamērķa tīkla adrešu tulkošanas (SNAT un DNAT) posmā un pēc tam ievadīšanas tabulā. saplūst. Viens no iekšēji apspriestajiem un kopienas ieteiktajiem risinājumiem bija DNS pārvietošana uz pašu darbinieku mezglu. Šajā gadījumā:

SNAT nav nepieciešams, jo satiksme paliek mezglā. Tas nav jāmaršrutē caur interfeisu eth0.
DNAT nav nepieciešams, jo galamērķa IP ir lokāls mezglam, nevis nejauši izvēlēts pods saskaņā ar noteikumiem iptables.

Mēs nolēmām pieturēties pie šīs pieejas. CoreDNS tika izvietots kā DaemonSet pakalpojumā Kubernetes, un mēs ieviesām vietējā mezgla DNS serveri solve.conf katrs pods, uzstādot karogu --cluster-dns komandām kubelet . Šis risinājums izrādījās efektīvs DNS taimauta gadījumā.

Tomēr mēs joprojām redzējām pakešu zudumu un skaitītāja pieaugumu ievietot_neizdevās flaneļa saskarnē. Tas turpinājās pēc tam, kad tika ieviests risinājums, jo mēs varējām likvidēt SNAT un/vai DNAT tikai DNS trafikam. Sacensību apstākļi tika saglabāti cita veida satiksmei. Par laimi, lielākā daļa mūsu pakešu ir TCP, un, ja rodas problēma, tās vienkārši tiek pārsūtītas. Mēs joprojām cenšamies atrast piemērotu risinājumu visiem satiksmes veidiem.

Sūtņa izmantošana labākai slodzes līdzsvarošanai

Migrējot aizmugursistēmas pakalpojumus uz Kubernetes, mēs sākām ciest no nesabalansētas slodzes starp podiem. Mēs atklājām, ka HTTP Keepalive izraisīja ELB savienojumu pārtraukšanu katras ieviestās izvietošanas pirmajos gatavajos apvidos. Tādējādi lielākā daļa datplūsmas tika veikta caur nelielu procentuālo daļu no pieejamajiem podiem. Pirmais mūsu pārbaudītais risinājums bija MaxSurge iestatīšana uz 100% jauniem izvietojumiem sliktākajiem scenārijiem. Efekts izrādījās nenozīmīgs un neperspektīvs lielākas izvietošanas ziņā.

Cits risinājums, ko izmantojām, bija mākslīgi palielināt resursu pieprasījumus kritiskiem pakalpojumiem. Šajā gadījumā tuvumā novietotām pākstīm būtu lielāka manevrēšanas iespēja salīdzinājumā ar citām smagajām pākstīm. Tas nedarbotos arī ilgtermiņā, jo tā būtu resursu izniekošana. Turklāt mūsu Node lietojumprogrammas bija viena pavediena un attiecīgi varēja izmantot tikai vienu kodolu. Vienīgais reālais risinājums bija izmantot labāku slodzes līdzsvarošanu.

Mēs jau sen vēlējāmies pilnībā novērtēt sūtnis. Pašreizējā situācija ļāva mums to izmantot ļoti ierobežotā veidā un iegūt tūlītējus rezultātus. Envoy ir augstas veiktspējas atvērtā koda XNUMX. slāņa starpniekserveris, kas paredzēts lielām SOA lietojumprogrammām. Tas var ieviest uzlabotas slodzes līdzsvarošanas metodes, tostarp automātiskus atkārtotus mēģinājumus, automātiskie slēdži un globālā ātruma ierobežošana. (Piezīme. tulk.: Vairāk par to varat lasīt šeit Šis raksts par Istio, kura pamatā ir Envoy.)

Mēs nonācām pie šādas konfigurācijas: katram blokam jābūt Envoy blakusvāģim un vienam maršrutam, un savienojiet kopu ar konteineru lokāli, izmantojot portu. Lai samazinātu iespējamo kaskādi un saglabātu nelielu trāpījuma rādiusu, mēs izmantojām sūtņa priekšējo starpniekservera bloku parku — vienu katrā pieejamības zonā (AZ) katram pakalpojumam. Viņi paļāvās uz vienkāršu pakalpojumu atklāšanas dzinēju, ko bija uzrakstījis viens no mūsu inženieriem, kas vienkārši atgrieza sarakstu ar aplikācijām katrā AZ konkrētajam pakalpojumam.

Pēc tam pakalpojumu frontes sūtņi izmantoja šo pakalpojumu atklāšanas mehānismu ar vienu augšupējo kopu un maršrutu. Mēs iestatījām atbilstošus taimautus, palielinājām visus ķēdes pārtraucēju iestatījumus un pievienojām minimālu atkārtotā mēģinājuma konfigurāciju, lai palīdzētu novērst atsevišķas kļūmes un nodrošinātu vienmērīgu izvietošanu. Katram no šiem dienesta priekšējiem sūtņiem mēs novietojām TCP ELB. Pat ja mūsu galvenā starpniekservera slāņa Keepalive bija iestrēdzis dažiem Envoy podiem, tie joprojām varēja daudz labāk apstrādāt slodzi un tika konfigurēti tā, lai aizmugursistēmā balansētu, izmantojot vismaz_pieprasījumu.

Izvietošanai mēs izmantojām preStop āķi gan uzlikšanas blokiem, gan blakusvāģa kārbām. Āķis izraisīja kļūdu, pārbaudot administratora galapunkta statusu, kas atrodas blakusvāģa konteinerā, un kādu laiku aizmiga, lai ļautu pārtraukt aktīvo savienojumu darbību.

Viens no iemesliem, kāpēc mēs varējām pārvietoties tik ātri, ir detalizētie rādītāji, kurus varējām viegli integrēt tipiskā Prometheus instalācijā. Tas ļāva mums precīzi redzēt, kas notiek, kamēr mēs pielāgojām konfigurācijas parametrus un pārdalām trafiku.

Rezultāti bija tūlītēji un acīmredzami. Mēs sākām ar nesabalansētākajiem pakalpojumiem, un šobrīd tas darbojas klastera 12 svarīgāko pakalpojumu priekšā. Šogad mēs plānojam pāreju uz pilna servisa tīklu ar modernāku pakalpojumu atklāšanu, ķēdes pārtraukumiem, noviržu noteikšanu, ātruma ierobežošanu un izsekošanu.

Attēls 3-1. Viena pakalpojuma CPU konverģence pārejas laikā uz Envoy

Gala rezultāts

Izmantojot šo pieredzi un papildu pētījumus, esam izveidojuši spēcīgu infrastruktūras komandu ar spēcīgām prasmēm lielu Kubernetes klasteru projektēšanā, izvietošanā un darbībā. Visiem Tinder inženieriem tagad ir zināšanas un pieredze konteineru iepakošanai un lietojumprogrammu izvietošanai Kubernetes.

Kad vecajā infrastruktūrā radās nepieciešamība pēc papildu jaudas, mums bija jāgaida vairākas minūtes, līdz tiks palaists jauns EC2 gadījums. Tagad konteineri sāk darboties un sāk apstrādāt trafiku dažu sekunžu, nevis minūšu laikā. Vairāku konteineru plānošana vienā EC2 eksemplārā nodrošina arī uzlabotu horizontālo koncentrāciju. Rezultātā mēs prognozējam būtisku EC2019 izmaksu samazinājumu 2. gadā salīdzinājumā ar pagājušo gadu.

Migrācija ilga gandrīz divus gadus, bet mēs to pabeidzām 2019. gada martā. Pašlaik Tinder platforma darbojas tikai Kubernetes klasterī, kas sastāv no 200 pakalpojumiem, 1000 mezgliem, 15 000 podiem un 48 000 darbojošiem konteineriem. Infrastruktūra vairs nav vienīgā operāciju komandu joma. Visi mūsu inženieri dala šo atbildību un kontrolē savu lietojumprogrammu izveides un izvietošanas procesu, izmantojot tikai kodu.

PS no tulka

Lasiet arī rakstu sēriju mūsu emuārā:

Avots: www.habr.com

Tinder pāreja uz Kubernetes