Problēmas ar DNS Kubernetes. Publisks pēcnāves periods

Piezīme tulkojums: Šis ir publiskas pēcnāves tulkojums no uzņēmuma inženierzinātņu emuāra Gatavs. Tajā ir aprakstīta problēma, kas saistīta ar conntrack Kubernetes klasterī, kas izraisīja dažu ražošanas pakalpojumu daļēju dīkstāvi.

Šis raksts var būt noderīgs tiem, kuri vēlas uzzināt vairāk par pēcnāves gadījumiem vai novērst dažas iespējamās DNS problēmas nākotnē.

Tas nav DNS
Tas nevar būt DNS
Tas bija DNS

Mazliet par pēcnāves gadījumiem un procesiem Preply

Pēcnāves gadījums apraksta darbības traucējumu vai kādu notikumu ražošanā. Pēcnāves pārbaudē ir ietverta notikumu laika skala, lietotāju ietekme, galvenais iemesls, veiktās darbības un gūtās mācības.

Meklēju SRE

Iknedēļas tikšanās reizēs ar picu, tehniskās komandas starpā dalāmies ar dažādu informāciju. Viena no svarīgākajām šādu sanāksmju daļām ir pēcnāves gadījumi, ko visbiežāk pavada prezentācija ar slaidiem un padziļināta incidenta analīze. Pat ja mēs neaplaudējam pēc pēcnāves gadījumiem, mēs cenšamies attīstīt "bez vainas" kultūru (nevainojama kultūra). Mēs uzskatām, ka pēcnāves ierakstu rakstīšana un prezentēšana var palīdzēt mums (un citiem) novērst līdzīgus incidentus nākotnē, tāpēc mēs tos kopīgojam.

Personām, kas iesaistītas incidentā, jājūt, ka viņi var runāt detalizēti, nebaidoties no soda vai atriebības. Nav vainas! Pēcnāves ziņojuma rakstīšana nav sods, bet gan iespēja mācīties visam uzņēmumam.

Saglabājiet CALMS & DevOps: S ir paredzēts kopīgošanai

Problēmas ar DNS Kubernetes. Pēcnāves

Datums: 28.02.2020

Autori: Amets U., Andrejs S., Igors K., Aleksejs P.

Statuss: Pabeigts

Īsumā: Daļēja DNS nepieejamība (26 minūtes) dažiem Kubernetes klastera pakalpojumiem

Ietekme: Pakalpojumos A, B un C zaudēti 15000 XNUMX notikumu

Galvenais cēlonis: Kube starpniekserveris nevarēja pareizi noņemt veco ierakstu no conntrack tabulas, tāpēc daži pakalpojumi joprojām mēģināja izveidot savienojumu ar neesošiem podiem

E0228 20:13:53.795782       1 proxier.go:610] Failed to delete kube-system/kube-dns:dns endpoint connections, error: error deleting conntrack entries for UDP peer {100.64.0.10, 100.110.33.231}, error: conntrack command returned: ...

Aktivizētājs: Sakarā ar zemo slodzi Kubernetes klasterī, CoreDNS-autoscaler samazināja podiņu skaitu izvietošanā no trim uz diviem.

šķīdums: Lietojumprogrammas nākamā izvietošana uzsāka jaunu mezglu izveidi, CoreDNS-autoscaler pievienoja vairāk podi, lai apkalpotu klasteru, kas izraisīja conntrack tabulas pārrakstīšanu.

Atklāšana: Prometheus monitorings atklāja lielu skaitu 5xx kļūdu pakalpojumiem A, B un C un sāka zvanu dežurējošajiem inženieriem

5xx kļūdas Kibanā

Aktivitāte

efekts
RўReRї
Atbildīgs
Uzdevums

Atspējot automātisko mērogošanu CoreDNS
novērsta
Amets U.
DEVOPS-695

Iestatiet kešatmiņas DNS serveri
samazināt
Makss V.
DEVOPS-665

Iestatiet kontrakciju uzraudzību
novērsta
Amets U.
DEVOPS-674

Gūtās mācības

Kas gāja labi:

• Uzraudzība darbojās labi. Atbilde bija ātra un organizēta
• Mēs nesasniedzām nekādus mezglu ierobežojumus

Kas bija nepareizi:

• Joprojām nezināms īstais cēlonis, līdzīgs specifiska kļūda in kontraktā
• Visas darbības novērš tikai sekas, nevis galveno cēloni (kļūdu)
• Mēs zinājām, ka agrāk vai vēlāk mums varētu rasties problēmas ar DNS, taču mēs nenoteicām uzdevumu prioritātes

Kur mums paveicās:

• Nākamo izvietošanu aktivizēja CoreDNS-autoscaler, kas pārrakstīja conntrack tabulu
• Šī kļūda skāra tikai dažus pakalpojumus

Laika skala (EET)

Laiks
efekts

22:13
CoreDNS-autoscaler samazināja podiņu skaitu no trim līdz diviem

22:18
Dežurējošie inženieri sāka saņemt zvanus no uzraudzības sistēmas

22:21
Dežurējošie inženieri sāka noskaidrot kļūdu cēloni.

22:39
Dežurējošie inženieri sāka vienu no jaunākajiem pakalpojumiem atjaunot uz iepriekšējo versiju

22:40
5xx kļūdas pārstāja parādīties, situācija ir stabilizējusies

• Laiks noteikšanai: 4 minūtes
• Laiks pirms darbības: 21 minūtes
• Laiks labot: 1 minūtes

papildu informācija

• CoreDNS žurnāli:

  I0228 20:13:53.507780       1 event.go:221] Event(v1.ObjectReference{Kind:"Deployment", Namespace:"kube-system", Name:"coredns", UID:"2493eb55-3dc0-11ea-b3a2-02bb48f8c230", APIVersion:"apps/v1", ResourceVersion:"132690686", FieldPath:""}): type: 'Normal' reason: 'ScalingReplicaSet' Scaled down replica set coredns-6cbb6646c9 to 2

• Saites uz Kibana (sagriezts), Grafana (sagriezts)
• Kur Linux conntrack vairs nav jūsu draugs
• kube-proxy smalkumi: Intermitējoša savienojuma atiestatīšanas atkļūdošana
• Racy conntrack un DNS uzmeklēšanas taimauta

Lai samazinātu CPU izmantošanu, Linux kodols izmanto kaut ko, ko sauc par conntrack. Īsāk sakot, šī ir utilīta, kas satur NAT ierakstu sarakstu, kas tiek glabāti īpašā tabulā. Kad nākamā pakete pienāk no tā paša pod uz to pašu pod kā iepriekš, galīgā IP adrese netiks pārrēķināta, bet tiks ņemta no conntrack tabulas.

Kā darbojas conntrack

Rezultāti

Šis bija piemērs vienai no mūsu pēcnāves gadījumiem ar dažām noderīgām saitēm. Konkrēti šajā rakstā mēs dalāmies ar informāciju, kas var būt noderīga citiem uzņēmumiem. Tāpēc mēs nebaidāmies kļūdīties un tāpēc vienu no mūsu pēcnāves izmeklējumiem publiskojam. Šeit ir vēl daži interesanti publiskie pēcnāves gadījumi:

• GitLab: Pēcnāves datubāzes darbības pārtraukums 31. janvārī
• Dropbox: Pēcnāves pārtraukums
• Spotify: Spotify mīlestības/naida attiecības ar DNS
• Daudzi citi no šī būtība un repozitorijs Kubernetes neveiksmju stāsti
• arī piemērs publiska postmortem ar SRE grāmatu

Avots: www.habr.com