6 забавни системски грешки во работењето на Kubernetes [и нивното решение]

Со текот на годините на користење на Kubernetes во производството, имаме акумулирано многу интересни приказни за тоа како грешките во различни компоненти на системот доведоа до непријатни и/или неразбирливи последици кои влијаат на работата на контејнерите и мешунките. Во оваа статија направивме избор на некои од најчестите или најинтересните. Дури и ако никогаш не сте доволно среќни да наидете на такви ситуации, читањето за такви кратки детективски приказни - особено „од прва рака“ - е секогаш интересно, нели?

Приказна 1. Supercronic и Docker виси

На еден од кластерите, периодично добивавме замрзнат Docker, што го попречуваше нормалното функционирање на кластерот. Во исто време, следново беше забележано во дневниците на Docker:

level=error msg="containerd: start init process" error="exit status 2: "runtime/cgo: pthread_create failed: No space left on device
SIGABRT: abort
PC=0x7f31b811a428 m=0

goroutine 0 [idle]:

goroutine 1 [running]:
runtime.systemstack_switch() /usr/local/go/src/runtime/asm_amd64.s:252 fp=0xc420026768 sp=0xc420026760
runtime.main() /usr/local/go/src/runtime/proc.go:127 +0x6c fp=0xc4200267c0 sp=0xc420026768
runtime.goexit() /usr/local/go/src/runtime/asm_amd64.s:2086 +0x1 fp=0xc4200267c8 sp=0xc4200267c0

goroutine 17 [syscall, locked to thread]:
runtime.goexit() /usr/local/go/src/runtime/asm_amd64.s:2086 +0x1

…

Она што најмногу не интересира за оваа грешка е пораката: pthread_create failed: No space left on device. Брзо проучување документација Објасни дека Докер не може да отпочне процес, поради што тој периодично замрзнува.

Во мониторингот, следнава слика одговара на она што се случува:

Слична ситуација е забележана и на други јазли:

На истите јазли гледаме:

root@kube-node-1 ~ # ps auxfww | grep curl -c
19782
root@kube-node-1 ~ # ps auxfww | grep curl | head
root     16688  0.0  0.0      0     0 ?        Z    Feb06   0:00      |       _ [curl] <defunct>
root     17398  0.0  0.0      0     0 ?        Z    Feb06   0:00      |       _ [curl] <defunct>
root     16852  0.0  0.0      0     0 ?        Z    Feb06   0:00      |       _ [curl] <defunct>
root      9473  0.0  0.0      0     0 ?        Z    Feb06   0:00      |       _ [curl] <defunct>
root      4664  0.0  0.0      0     0 ?        Z    Feb06   0:00      |       _ [curl] <defunct>
root     30571  0.0  0.0      0     0 ?        Z    Feb06   0:00      |       _ [curl] <defunct>
root     24113  0.0  0.0      0     0 ?        Z    Feb06   0:00      |       _ [curl] <defunct>
root     16475  0.0  0.0      0     0 ?        Z    Feb06   0:00      |       _ [curl] <defunct>
root      7176  0.0  0.0      0     0 ?        Z    Feb06   0:00      |       _ [curl] <defunct>
root      1090  0.0  0.0      0     0 ?        Z    Feb06   0:00      |       _ [curl] <defunct>

Се испостави дека ваквото однесување е последица на работата со подлогата суперкроник (Го алатка која ја користиме за извршување cron задачи во pods):

 _ docker-containerd-shim 833b60bb9ff4c669bb413b898a5fd142a57a21695e5dc42684235df907825567 /var/run/docker/libcontainerd/833b60bb9ff4c669bb413b898a5fd142a57a21695e5dc42684235df907825567 docker-runc
|   _ /usr/local/bin/supercronic -json /crontabs/cron
|       _ /usr/bin/newrelic-daemon --agent --pidfile /var/run/newrelic-daemon.pid --logfile /dev/stderr --port /run/newrelic.sock --tls --define utilization.detect_aws=true --define utilization.detect_azure=true --define utilization.detect_gcp=true --define utilization.detect_pcf=true --define utilization.detect_docker=true
|       |   _ /usr/bin/newrelic-daemon --agent --pidfile /var/run/newrelic-daemon.pid --logfile /dev/stderr --port /run/newrelic.sock --tls --define utilization.detect_aws=true --define utilization.detect_azure=true --define utilization.detect_gcp=true --define utilization.detect_pcf=true --define utilization.detect_docker=true -no-pidfile
|       _ [newrelic-daemon] <defunct>
|       _ [curl] <defunct>
|       _ [curl] <defunct>
|       _ [curl] <defunct>
…

Проблемот е во ова: кога задачата се извршува во суперкроник, процесот е предизвикан од него не може правилно да се прекине, претворајќи се во зомби.

Имајте на ум: Да бидам попрецизен, процесите се предизвикани од cron задачи, но supercronic не е инитен систем и не може да ги „усвои“ процесите што ги создале неговите деца. Кога ќе се подигнат сигналите SIGHUP или SIGTERM, тие не се пренесуваат на детските процеси, што резултира со тоа што процесите на дете не завршуваат и остануваат во статус на зомби. Можете да прочитате повеќе за сето ова, на пример, во таков напис.

Постојат неколку начини за решавање на проблемите:

1. Како привремено решение - зголемете го бројот на PID во системот во еден момент во времето:

          /proc/sys/kernel/pid_max (since Linux 2.5.34)
                 This file specifies the value at which PIDs wrap around (i.e., the value in this file is one greater than the maximum PID).  PIDs greater than this  value  are  not  allo‐
                 cated;  thus, the value in this file also acts as a system-wide limit on the total number of processes and threads.  The default value for this file, 32768, results in the
                 same range of PIDs as on earlier kernels

2. Или стартувајте задачи во суперкроник не директно, туку користејќи го истото тини, кој може правилно да ги прекине процесите и да не создава зомби.

Приказна 2. „Зомби“ при бришење на cgroup

Kubelet почна да троши многу процесор:

На никој нема да му се допадне ова, па се вооруживме перф и почна да се справува со проблемот. Резултатите од истрагата беа како што следува:

• Kubelet троши повеќе од една третина од времето на процесорот влечејќи мемориски податоци од сите cгрупи:

  

• Во мејлинг листата на развивачите на кернелот можете да најдете дискусија за проблемот. Накратко, поентата се сведува на ова: разни tmpfs датотеки и други слични работи не се целосно отстранети од системот при бришење на cgroup, т.н memcg зомби. Порано или подоцна тие ќе бидат избришани од кешот на страницата, но има многу меморија на серверот и кернелот не ја гледа смислата во губењето време за нивно бришење. Затоа постојано се трупаат. Зошто воопшто се случува ова? Ова е сервер со cron jobs кој постојано создава нови работни места, а со нив и нови подови. Така, се создаваат нови cгрупи за контејнерите во нив, кои наскоро се бришат.
• Зошто cAdvisor во кубелет троши толку многу време? Ова е лесно да се види со наједноставното извршување time cat /sys/fs/cgroup/memory/memory.stat. Ако на здрава машина операцијата трае 0,01 секунди, тогаш на проблематичниот cron02 трае 1,2 секунди. Работата е што cAdvisor, кој многу бавно ги чита податоците од sysfs, се обидува да ја земе предвид меморијата што се користи во зомби cгрупите.
• За насилно отстранување на зомби, се обидовме да ги исчистиме кешовите како што е препорачано во LKML: sync; echo 3 > /proc/sys/vm/drop_caches, - но јадрото се покажа покомплицирано и го урна автомобилот.

Што да се прави? Проблемот се решава (посветат, а за опис види порака за ослободување) ажурирање на кернелот Линукс до верзијата 4.16.

Историја 3. Systemd и неговата монтажа

Повторно, kubelet троши премногу ресурси на некои јазли, но овој пат троши премногу меморија:

Се испостави дека има проблем во systemd што се користи во Ubuntu 16.04 и се јавува при управување со монтирања што се создадени за поврзување subPath од ConfigMaps или тајни. Откако мешунката ќе ја заврши својата работа услугата systemd и нејзиниот сервисен монт остануваат во системот. Со текот на времето, огромен број од нив се акумулираат. Има дури и проблеми на оваа тема:

1. #5916;
2. кубернети #57345.

...последната од нив се однесува на ПР во системот: # 7811 (издание во systemd - # 7798).

Проблемот повеќе не постои во Ubuntu 18.04, но ако сакате да продолжите да го користите Ubuntu 16.04, можеби ќе ви биде корисен нашиот решение за оваа тема.

Така, го направивме следниов DaemonSet:

---
apiVersion: extensions/v1beta1
kind: DaemonSet
metadata:
  labels:
    app: systemd-slices-cleaner
  name: systemd-slices-cleaner
  namespace: kube-system
spec:
  updateStrategy:
    type: RollingUpdate
  selector:
    matchLabels:
      app: systemd-slices-cleaner
  template:
    metadata:
      labels:
        app: systemd-slices-cleaner
    spec:
      containers:
      - command:
        - /usr/local/bin/supercronic
        - -json
        - /app/crontab
        Image: private-registry.org/systemd-slices-cleaner/systemd-slices-cleaner:v0.1.0
        imagePullPolicy: Always
        name: systemd-slices-cleaner
        resources: {}
        securityContext:
          privileged: true
        volumeMounts:
        - name: systemd
          mountPath: /run/systemd/private
        - name: docker
          mountPath: /run/docker.sock
        - name: systemd-etc
          mountPath: /etc/systemd
        - name: systemd-run
          mountPath: /run/systemd/system/
        - name: lsb-release
          mountPath: /etc/lsb-release-host
      imagePullSecrets:
      - name: antiopa-registry
      priorityClassName: cluster-low
      tolerations:
      - operator: Exists
      volumes:
      - name: systemd
        hostPath:
          path: /run/systemd/private
      - name: docker
        hostPath:
          path: /run/docker.sock
      - name: systemd-etc
        hostPath:
          path: /etc/systemd
      - name: systemd-run
        hostPath:
          path: /run/systemd/system/
      - name: lsb-release
        hostPath:
          path: /etc/lsb-release

... и ја користи следната скрипта:

#!/bin/bash

# we will work only on xenial
hostrelease="/etc/lsb-release-host"
test -f ${hostrelease} && grep xenial ${hostrelease} > /dev/null || exit 0

# sleeping max 30 minutes to dispense load on kube-nodes
sleep $((RANDOM % 1800))

stoppedCount=0
# counting actual subpath units in systemd
countBefore=$(systemctl list-units | grep subpath | grep "run-" | wc -l)
# let's go check each unit
for unit in $(systemctl list-units | grep subpath | grep "run-" | awk '{print $1}'); do
  # finding description file for unit (to find out docker container, who born this unit)
  DropFile=$(systemctl status ${unit} | grep Drop | awk -F': ' '{print $2}')
  # reading uuid for docker container from description file
  DockerContainerId=$(cat ${DropFile}/50-Description.conf | awk '{print $5}' | cut -d/ -f6)
  # checking container status (running or not)
  checkFlag=$(docker ps | grep -c ${DockerContainerId})
  # if container not running, we will stop unit
  if [[ ${checkFlag} -eq 0 ]]; then
    echo "Stopping unit ${unit}"
    # stoping unit in action
    systemctl stop $unit
    # just counter for logs
    ((stoppedCount++))
    # logging current progress
    echo "Stopped ${stoppedCount} systemd units out of ${countBefore}"
  fi
done

... и работи на секои 5 минути користејќи го претходно споменатиот суперкроник. Нејзината Dockerfile изгледа вака:

FROM ubuntu:16.04
COPY rootfs /
WORKDIR /app
RUN apt-get update && 
    apt-get upgrade -y && 
    apt-get install -y gnupg curl apt-transport-https software-properties-common wget
RUN add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu xenial stable" && 
    curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - && 
    apt-get update && 
    apt-get install -y docker-ce=17.03.0*
RUN wget https://github.com/aptible/supercronic/releases/download/v0.1.6/supercronic-linux-amd64 -O 
    /usr/local/bin/supercronic && chmod +x /usr/local/bin/supercronic
ENTRYPOINT ["/bin/bash", "-c", "/usr/local/bin/supercronic -json /app/crontab"]

Приказна 4. Конкурентност при закажување мешунки

Забележано е дека: ако имаме мешунка поставена на јазол и нејзината слика се испумпува многу долго, тогаш друга мешунка што го „удри“ истиот јазол едноставно ќе не почнува да ја влече сликата на новиот под. Наместо тоа, чека додека не се повлече сликата од претходната мешунка. Како резултат на тоа, подлогата што веќе била закажана и чија слика можела да се преземе за само една минута ќе заврши во статус на containerCreating.

Настаните ќе изгледаат отприлика вака:

Normal  Pulling    8m    kubelet, ip-10-241-44-128.ap-northeast-1.compute.internal  pulling image "registry.example.com/infra/openvpn/openvpn:master"

Излегува дека една слика од бавен регистар може да го блокира распоредувањето по јазол.

За жал, нема многу начини за излез од ситуацијата:

1. Обидете се да го користите вашиот Docker Registry директно во кластерот или директно со кластерот (на пример, GitLab Registry, Nexus, итн.);
2. Користете комунални услуги како што се kraken.

Приказна 5. Јазлите висат поради недостаток на меморија

За време на работата на различни апликации, наидовме и на ситуација кога еден јазол целосно престанува да биде достапен: SSH не реагира, сите демони за следење паѓаат, а потоа нема ништо (или речиси ништо) ненормално во дневниците.

Ќе ви кажам на слики користејќи го примерот на еден јазол каде функционираше MongoDB.

Вака изгледа на врвот да несреќи:

И вака - по несреќи:

Во мониторингот, постои и остар скок, при кој јазолот престанува да биде достапен:

Така, од сликите од екранот е јасно дека:

1. RAM меморијата на машината е блиску до крајот;
2. Има остар скок во потрошувачката на RAM меморија, по што пристапот до целата машина е нагло оневозможен;
3. Голема задача пристигнува на Mongo, што го принудува процесот на DBMS да користи повеќе меморија и активно да чита од дискот.

Излегува дека ако Линукс снема слободна меморија (притисок во меморијата се поставува) и нема замена, тогаш да Кога ќе пристигне убиецот на OOM, може да дојде до балансирање помеѓу фрлање страници во кешот на страниците и нивно запишување назад на дискот. Ова го прави kswapd, кој храбро ослободува што е можно повеќе мемориски страници за последователна дистрибуција.

За жал, со големо В/И оптоварување заедно со мала количина слободна меморија, kswapd станува тесно грло на целиот систем, затоа што се врзани за тоа сите алокации (грешки на страници) на мемориски страници во системот. Ова може да трае многу долго ако процесите не сакаат повеќе да користат меморија, туку се фиксирани на самиот раб на бездната на убиецот на OOM.

Природното прашање е: зошто убиецот на ООМ доаѓа толку доцна? Во својата сегашна итерација, убиецот OOM е крајно глупав: ќе го убие процесот само кога обидот да се распредели страница за меморија не успее, т.е. ако грешката на страницата не успее. Ова не се случува долго време, бидејќи kswapd храбро ги ослободува мемориските страници, фрлајќи го кешот на страницата (всушност, целиот влез/излез на дискот во системот) назад на дискот. Подетално, со опис на чекорите потребни за отстранување на ваквите проблеми во кернелот, можете да прочитате тука.

Ова однесување треба да се подобри со Linux кернел 4.6+.

Приказна 6. Мешунките се заглавуваат во состојба на чекање

Во некои кластери, во кои функционираат навистина многу мешунки, почнавме да забележуваме дека повеќето од нив „висат“ многу долго во државата Pending, иако самите Docker контејнери веќе работат на јазлите и со нив може да се работи рачно.

Покрај тоа, во describe нема ништо лошо:

  Type    Reason                  Age                From                     Message
  ----    ------                  ----               ----                     -------
  Normal  Scheduled               1m                 default-scheduler        Successfully assigned sphinx-0 to ss-dev-kub07
  Normal  SuccessfulAttachVolume  1m                 attachdetach-controller  AttachVolume.Attach succeeded for volume "pvc-6aaad34f-ad10-11e8-a44c-52540035a73b"
  Normal  SuccessfulMountVolume   1m                 kubelet, ss-dev-kub07    MountVolume.SetUp succeeded for volume "sphinx-config"
  Normal  SuccessfulMountVolume   1m                 kubelet, ss-dev-kub07    MountVolume.SetUp succeeded for volume "default-token-fzcsf"
  Normal  SuccessfulMountVolume   49s (x2 over 51s)  kubelet, ss-dev-kub07    MountVolume.SetUp succeeded for volume "pvc-6aaad34f-ad10-11e8-a44c-52540035a73b"
  Normal  Pulled                  43s                kubelet, ss-dev-kub07    Container image "registry.example.com/infra/sphinx-exporter/sphinx-indexer:v1" already present on machine
  Normal  Created                 43s                kubelet, ss-dev-kub07    Created container
  Normal  Started                 43s                kubelet, ss-dev-kub07    Started container
  Normal  Pulled                  43s                kubelet, ss-dev-kub07    Container image "registry.example.com/infra/sphinx/sphinx:v1" already present on machine
  Normal  Created                 42s                kubelet, ss-dev-kub07    Created container
  Normal  Started                 42s                kubelet, ss-dev-kub07    Started container

По некое копање, направивме претпоставка дека кубелетот едноставно нема време да ги испрати сите информации за состојбата на мешунките и тестовите за живост/подготвеност до серверот API.

И откако ја проучувавме помошта, ги најдовме следниве параметри:

--kube-api-qps - QPS to use while talking with kubernetes apiserver (default 5)
--kube-api-burst  - Burst to use while talking with kubernetes apiserver (default 10) 
--event-qps - If > 0, limit event creations per second to this value. If 0, unlimited. (default 5)
--event-burst - Maximum size of a bursty event records, temporarily allows event records to burst to this number, while still not exceeding event-qps. Only used if --event-qps > 0 (default 10) 
--registry-qps - If > 0, limit registry pull QPS to this value.
--registry-burst - Maximum size of bursty pulls, temporarily allows pulls to burst to this number, while still not exceeding registry-qps. Only used if --registry-qps > 0 (default 10)

Како што се гледа, стандардните вредности се прилично мали, а во 90% ги покриваат сите потреби... Меѓутоа, во нашиот случај тоа не беше доволно. Затоа, ги поставуваме следните вредности:

--event-qps=30 --event-burst=40 --kube-api-burst=40 --kube-api-qps=30 --registry-qps=30 --registry-burst=40

... и ги рестартиравме kubelets, по што ја видовме следната слика во графиконите на повиците до серверот API:

... и да, сè почна да лета!

PS

За нивната помош во собирањето грешки и подготовката на овој напис, изразувам длабока благодарност до бројните инженери на нашата компанија, а особено до мојот колега од нашиот тим за истражување и развој Андреј Климентјев (зузи).

PPS

Прочитајте и на нашиот блог:

• «приклучок kubectl-debug за дебагирање во pods на Kubernetes".
• Јамка за совети и трикови на Kubernetes:
  • «Пренесување на ресурси кои работат во кластер до управувањето на Helm 2";
  • «За распределбата на јазлите и вчитувањата на веб-апликацијата";
  • «Пристап до веб-локации за развој";
  • «Забрзување на bootstrap за големи бази на податоци".

Извор: www.habr.com