"Kubernetes သည် latency ကို 10 ဆ တိုးလာသည်" - ဤအတွက် မည်သူကို အပြစ်တင်ရမည်နည်း။

မှတ်ချက်။ ဘာသာပြန်: ဥရောပကုမ္ပဏီ Adevinta တွင် Principal Software Engineer ရာထူးကိုရရှိထားသူ Galo Navarro မှရေးသားသော ဤဆောင်းပါးသည် အခြေခံအဆောက်အအုံဆိုင်ရာလုပ်ငန်းများတွင် စိတ်ဝင်စားဖွယ်ကောင်းသော မှတ်သားစရာ “စုံစမ်းစစ်ဆေးခြင်း” ဖြစ်သည်။ မူရင်းခေါင်းစဉ်ကို စာရေးသူက အစမှာ ရှင်းပြထားတဲ့ အကြောင်းပြချက်နဲ့ ဘာသာပြန်ရာမှာ အနည်းငယ် ချဲ့ထားပါတယ်။

စာရေးသူထံမှ မှတ်ချက်: ဒီပို့စ်နဲ့တူတယ်။ ဆွဲဆောင် မျှော်လင့်ထားတာထက် အများကြီး ပိုအာရုံစိုက်တယ်။ ဆောင်းပါးခေါင်းစဉ်က လွဲမှားနေပြီး အချို့သော စာဖတ်သူများ စိတ်မကောင်းဖြစ်မိကြောင်း ဒေါသတကြီး မှတ်ချက်ချမိသေးသည်။ ဖြစ်ပျက်နေသည့် အကြောင်းရင်းများကို ကျွန်ုပ်နားလည်ပါသည်၊ ထို့ကြောင့်၊ ခြေပုန်းပုန်းတစ်ခုလုံး ပျက်စီးမည့်အန္တရာယ်ရှိနေသော်လည်း ဤဆောင်းပါးသည် ဘာအကြောင်းကြောင့်ဖြစ်သည်ကို ကျွန်ုပ် ချက်ချင်းပြောပြလိုပါသည်။ အဖွဲ့များ Kubernetes သို့ ပြောင်းရွှေ့ရာတွင် ထူးဆန်းသောအချက်မှာ ပြဿနာတစ်ခု ပေါ်ပေါက်လာတိုင်း (ရွှေ့ပြောင်းမှုတစ်ခုပြီးနောက် ကြာမြင့်ချိန် တိုးလာခြင်းကဲ့သို့) တွင် ပထမဆုံး အပြစ်တင်ခံရသည့်အရာမှာ Kubernetes ဖြစ်သည်၊ သို့သော် တီးမှုတ်သူသည် အမှန်တကယ်မဟုတ်ကြောင်း ထွက်ပေါ်လာပါသည်။ အပြစ်တင် ဤဆောင်းပါးတွင် ထိုသို့သောကိစ္စရပ်တစ်ခုအကြောင်း ပြောပြသည်။ ၎င်း၏အမည်သည် ကျွန်ုပ်တို့၏ဆော့ဖ်ဝဲအင်ဂျင်နီယာတစ်ဦး၏ အာမေဋိတ်ကို ထပ်တလဲလဲဖြစ်စေသည် (နောက်ပိုင်းတွင် Kubernetes နှင့် ၎င်းနှင့်မသက်ဆိုင်ကြောင်း သင်တွေ့လိမ့်မည်)။ Kubernetes နှင့် ပတ်သက်၍ အံ့အားသင့်ဖွယ် ထုတ်ဖော်ချက်များကို ဤနေရာတွင် သင်မတွေ့နိုင်သော်လည်း ရှုပ်ထွေးသော စနစ်များအကြောင်း သင်ခန်းစာကောင်းအချို့ကို သင်မျှော်လင့်နိုင်ပါသည်။

လွန်ခဲ့သော ရက်သတ္တပတ်အနည်းငယ်က၊ ကျွန်ုပ်၏အဖွဲ့သည် CI/CD၊ Kubernetes အခြေပြု runtime၊ မက်ထရစ်များနှင့် အခြားအရာများပါ၀င်သည့် core platform တစ်ခုသို့ microservice တစ်ခုကို ပြောင်းရွှေ့နေပါသည်။ အပြောင်းအရွှေ့သည် စမ်းသပ်မှုသဘောအရဖြစ်သည်- ကျွန်ုပ်တို့သည် ၎င်းကိုအခြေခံအဖြစ်ခံယူပြီး လာမည့်လများတွင် နောက်ထပ်ဝန်ဆောင်မှုပေါင်း 150 ခန့်ကို လွှဲပြောင်းရန် စီစဉ်ထားပါသည်။ ၎င်းတို့အားလုံးသည် စပိန်ရှိ အကြီးဆုံး အွန်လိုင်းပလပ်ဖောင်းများ (Infojobs၊ Fotocasa စသည်တို့) ၏ လည်ပတ်မှုအတွက် တာဝန်ရှိပါသည်။

ကျွန်ုပ်တို့သည် အပလီကေးရှင်းကို Kubernetes သို့ ဖြန့်ကျက်ပြီး အသွားအလာအချို့ကို ၎င်းထံ ပြန်ညွှန်းပြီးနောက်၊ ထိတ်လန့်အံ့သြဖွယ်ရာတစ်ခုက ကျွန်ုပ်တို့ကို စောင့်ကြိုနေပါသည်။ နှောင့်နှေးခြင်း။ (နေချိန်) Kubernetes တွင် တောင်းဆိုမှုများသည် EC10 ထက် 2 ဆ ပိုများသည်။ ယေဘူယျအားဖြင့်၊ ဤပြဿနာအတွက် အဖြေကိုရှာဖွေရန် သို့မဟုတ် microservice ၏ ရွှေ့ပြောင်းခြင်း (ပရောဂျက်တစ်ခုလုံး) ကို စွန့်လွှတ်ရန် လိုအပ်သည်။

Kubernetes တွင် latency သည် EC2 ထက် အဘယ်ကြောင့် ပိုမိုမြင့်မားသနည်း။

ပိတ်ဆို့မှုကိုရှာဖွေရန်၊ တောင်းဆိုမှုလမ်းကြောင်းတစ်ခုလုံးတစ်လျှောက် မက်ထရစ်များကို စုဆောင်းခဲ့သည်။ ကျွန်ုပ်တို့၏ ဗိသုကာလက်ရာသည် ရိုးရှင်းပါသည်- API ဂိတ်ဝေး (Zuul) proxies သည် EC2 သို့မဟုတ် Kubernetes ရှိ microservice instances များကို တောင်းဆိုပါသည်။ Kubernetes တွင် ကျွန်ုပ်တို့သည် NGINX Ingress Controller ကိုအသုံးပြုပြီး နောက်ခံများသည် သာမန်အရာဝတ္ထုများကဲ့သို့ဖြစ်သည်။ ဖြန့်ကျက် Spring ပလပ်ဖောင်းပေါ်ရှိ JVM အက်ပ်ဖြင့်။

                                  EC2
                            +---------------+
                            |  +---------+  |
                            |  |         |  |
                       +-------> BACKEND |  |
                       |    |  |         |  |
                       |    |  +---------+  |                   
                       |    +---------------+
             +------+  |
Public       |      |  |
      -------> ZUUL +--+
traffic      |      |  |              Kubernetes
             +------+  |    +-----------------------------+
                       |    |  +-------+      +---------+ |
                       |    |  |       |  xx  |         | |
                       +-------> NGINX +------> BACKEND | |
                            |  |       |  xx  |         | |
                            |  +-------+      +---------+ |
                            +-----------------------------+

ပြဿနာသည် backend ရှိ ကနဦး latency နှင့် ဆက်စပ်နေပုံရသည် (ဂရပ်ပေါ်တွင် ပြဿနာဧရိယာကို "xx" အဖြစ် အမှတ်အသားပြုထားသည်)။ EC2 တွင်၊ လျှောက်လွှာတုံ့ပြန်မှုသည် 20ms ခန့်ကြာသည်။ Kubernetes တွင်၊ latency သည် 100-200 ms အထိတိုးလာသည်။

ကျွန်ုပ်တို့သည် runtime ပြောင်းလဲမှုနှင့်ပတ်သက်သည့် ဖြစ်နိုင်ခြေရှိသောသံသယရှိသူများကို အမြန်ဖယ်ရှားလိုက်ပါသည်။ JVM ဗားရှင်းက အတူတူပါပဲ။ ကွန်တိန်နာပြုလုပ်ခြင်းဆိုင်ရာပြဿနာများသည်လည်း ၎င်းနှင့်မသက်ဆိုင်ပါ- အပလီကေးရှင်းသည် EC2 ရှိ ကွန်တိန်နာများတွင် အောင်မြင်စွာလည်ပတ်နေပြီဖြစ်သည်။ တင်နေလား။ သို့သော် တစ်စက္ကန့်လျှင် တောင်းဆိုချက် 1 ခု၌ပင် မြင့်မားသော latencies ကို ကျွန်ုပ်တို့ တွေ့ရှိခဲ့သည်။ အမှိုက်သိမ်းခြင်းအတွက် ခေတ္တရပ်နားခြင်းကိုလည်း လစ်လျူရှုထားနိုင်သည်။

ကျွန်ုပ်တို့၏ Kubernetes စီမံခန့်ခွဲသူများထဲမှတစ်ဦးက အပလီကေးရှင်းတွင် DNS မေးမြန်းမှုများသည် ယခင်က အလားတူပြဿနာများကို ဖြစ်စေသောကြောင့် အပလီကေးရှင်းတွင် ပြင်ပမှီခိုမှုများရှိမရှိကို သိချင်နေပါသည်။

အယူအဆ 1- DNS အမည် ကြည်လင်ပြတ်သားမှု

တောင်းဆိုမှုတစ်ခုစီအတွက်၊ ကျွန်ုပ်တို့၏အက်ပ်လီကေးရှင်းသည် AWS Elasticsearch စံနမူနာကို ဒိုမိန်းကဲ့သို့ တစ်ကြိမ်မှ သုံးကြိမ်အထိ ဝင်ရောက်ကြည့်ရှုသည်။ elastic.spain.adevinta.com. ကျွန်ုပ်တို့၏ကွန်တိန်နာအတွင်း အခွံတစ်ခုရှိတယ်။ထို့ကြောင့် ဒိုမိန်းတစ်ခုကို ရှာဖွေခြင်းသည် အမှန်တကယ် အချိန်ကြာမြင့်ခြင်း ရှိ၊ မရှိ စစ်ဆေးနိုင်ပါသည်။

ကွန်တိန်နာမှ DNS မေးခွန်းများ-

[root@be-851c76f696-alf8z /]# while true; do dig "elastic.spain.adevinta.com" | grep time; sleep 2; done
;; Query time: 22 msec
;; Query time: 22 msec
;; Query time: 29 msec
;; Query time: 21 msec
;; Query time: 28 msec
;; Query time: 43 msec
;; Query time: 39 msec

အပလီကေးရှင်းလည်ပတ်နေသည့် EC2 ဖြစ်ရပ်များထဲမှ အလားတူတောင်းဆိုမှုများ-

bash-4.4# while true; do dig "elastic.spain.adevinta.com" | grep time; sleep 2; done
;; Query time: 77 msec
;; Query time: 0 msec
;; Query time: 0 msec
;; Query time: 0 msec
;; Query time: 0 msec

ရှာဖွေမှုသည် 30ms ခန့်ကြာသည်ဟု ယူဆပါက Elasticsearch ကိုဝင်ရောက်သည့်အခါ DNS resolution သည် latency တိုးလာစေရန် အမှန်တကယ် အထောက်အကူပြုကြောင်း ထင်ရှားလာသည်။

သို့သော် အကြောင်းပြချက် နှစ်ခုကြောင့် ထူးဆန်းသည် ။

1. ကျွန်ုပ်တို့တွင် အချိန်ကြာမြင့်စွာနေချိန်ကို မခံစားရဘဲ AWS အရင်းအမြစ်များနှင့် အပြန်အလှန်တုံ့ပြန်သည့် Kubernetes အပလီကေးရှင်းများစွာရှိသည်။ ဘာအကြောင်းကြောင့်ပဲဖြစ်ဖြစ်၊ ဒီကိစ္စနဲ့ သက်ဆိုင်တယ်။
2. JVM သည် in-memory DNS caching ပြုလုပ်ကြောင်း ကျွန်ုပ်တို့သိပါသည်။ ကျွန်ုပ်တို့၏ပုံများတွင် TTL တန်ဖိုးကို ရေးထားသည်။ $JAVA_HOME/jre/lib/security/java.security 10 စက္ကန့် သတ်မှတ်ထားသည်- networkaddress.cache.ttl = 10. တစ်နည်းဆိုရသော် JVM သည် DNS queries အားလုံးကို 10 စက္ကန့်ကြာ သိမ်းဆည်းထားသင့်သည်။

ပထမ အယူအဆကို အတည်ပြုရန်၊ ကျွန်ုပ်တို့သည် DNS ကို ခဏတာ ခေါ်ဆိုခြင်းကို ရပ်လိုက်ပြီး ပြဿနာ ပြေလည်သွားခြင်း ရှိမရှိ ကြည့်ရန် ဆုံးဖြတ်ခဲ့သည်။ ပထမဦးစွာ၊ ဒိုမိန်းအမည်တစ်ခုမှမဟုတ်ဘဲ Elasticsearch နှင့် တိုက်ရိုက်ဆက်သွယ်နိုင်စေရန် အပလီကေးရှင်းကို ပြန်လည်ပြင်ဆင်ရန် ဆုံးဖြတ်ခဲ့သည်။ ၎င်းသည် ကုဒ်အပြောင်းအလဲများနှင့် အသုံးချမှုအသစ် လိုအပ်မည်ဖြစ်သည်၊ ထို့ကြောင့် ကျွန်ုပ်တို့သည် ဒိုမိန်းကို ၎င်း၏ IP လိပ်စာတွင် ရိုးရှင်းစွာ ပုံဖော်ထားသည်။ /etc/hosts:

34.55.5.111 elastic.spain.adevinta.com

ယခုကွန်တိန်နာသည် IP ကိုချက်ချင်းလက်ခံရရှိခဲ့သည်။ ၎င်းသည် တိုးတက်မှုအချို့ကို ဖြစ်ပေါ်စေသော်လည်း ကျွန်ုပ်တို့သည် မျှော်လင့်ထားသည့် latency အဆင့်များထက် အနည်းငယ် ပိုနီးစပ်ပါသည်။ DNS Resolution သည် အချိန်အတော်ကြာသော်လည်း၊ အကြောင်းအရင်းအမှန်မှာ ကျွန်ုပ်တို့ကို ရှောင်ဖယ်နေဆဲဖြစ်သည်။

ကွန်ရက်မှတစ်ဆင့် ရောဂါရှာဖွေခြင်း။

အသုံးပြုပြီး ကွန်တိန်နာမှ လမ်းကြောင်းများကို ခွဲခြမ်းစိတ်ဖြာရန် ဆုံးဖြတ်ခဲ့သည်။ tcpdumpကွန်ရက်ပေါ်တွင် အတိအကျဖြစ်ပျက်နေမှုများကို ကြည့်ရှုရန်-

[root@be-851c76f696-alf8z /]# tcpdump -leni any -w capture.pcap

ထို့နောက် ကျွန်ုပ်တို့သည် တောင်းဆိုချက်များစွာကို ပေးပို့ခဲ့ပြီး ၎င်းတို့၏ဖမ်းယူမှုကို ဒေါင်းလုဒ်လုပ်ခဲ့သည် (kubectl cp my-service:/capture.pcap capture.pcap) ထပ်ဆင့်ခွဲခြမ်းစိတ်ဖြာရန် Wireshark.

DNS စုံစမ်းမေးမြန်းမှုများနှင့်ပတ်သက်၍ သံသယဖြစ်စရာ တစ်စုံတစ်ရာမရှိပါ (နောက်မှပြောမည့်အချက်အနည်းငယ်မှလွဲ၍)။ သို့သော် ကျွန်ုပ်တို့၏ဝန်ဆောင်မှုသည် တောင်းဆိုချက်တစ်ခုစီကို ကိုင်တွယ်ပုံတွင် ထူးထူးခြားခြားအချို့ရှိပါသည်။ တုံ့ပြန်မှုမစတင်မီ တောင်းဆိုချက်ကို လက်ခံထားကြောင်း ပြသသည့် ဖမ်းယူမှု၏ စခရင်ရှော့တစ်ခုဖြစ်သည်။

ပက်ကေ့ဂျ်နံပါတ်များကို ပထမကော်လံတွင် ပြထားသည်။ ရှင်းရှင်းလင်းလင်းသိရန်၊ ကျွန်ုပ်သည် မတူညီသော TCP စီးဆင်းမှုများကို အရောင်ကုဒ်လုပ်ထားပါသည်။

ပက်ကက် 328 နှင့် စတင်သည့် အစိမ်းရောင်စီးကြောင်းသည် သုံးစွဲသူ (172.17.22.150) သည် ကွန်တိန်နာ (172.17.36.147) သို့ TCP ချိတ်ဆက်မှုကို မည်သို့တည်ဆောက်ကြောင်း ပြသသည်။ ကနဦးလက်ဆွဲနှုတ်ဆက်ပြီးနောက် (၃၂၈-၃၃၀)၊ အထုပ် ၃၃၁ ကို ယူဆောင်လာသည်။ HTTP GET /v1/.. - ကျွန်ုပ်တို့၏ဝန်ဆောင်မှုသို့ ဝင်လာသော တောင်းဆိုချက်။ လုပ်ငန်းစဉ်တစ်ခုလုံးသည် 1 ms ကြာသည်။

မီးခိုးရောင်စီးကြောင်း (packet 339 မှ) ကျွန်ုပ်တို့၏ဝန်ဆောင်မှုသည် Elasticsearch စံနမူနာသို့ HTTP တောင်းဆိုချက်တစ်ခုပေးပို့ကြောင်းပြသသည် (လက်ရှိချိတ်ဆက်မှုကိုအသုံးပြုနေသောကြောင့် TCP လက်ဆွဲခြင်းမျိုးမရှိပါ)။ ၎င်းသည် 18ms ကြာသည်။

ယခုအချိန်အထိ အရာအားလုံး အဆင်ပြေနေပြီး အချိန်များသည် မျှော်လင့်ထားသည့် နှောင့်နှေးမှုများနှင့် ကိုက်ညီသည် (Client မှ တိုင်းတာသောအခါ 20-30 ms)။

သို့သော် အပြာအပိုင်းသည် 86ms ကြာသည်။ အဲဒီထဲမှာ ဘာတွေဖြစ်နေတာလဲ? ပက်ကတ် 333 ဖြင့် ကျွန်ုပ်တို့၏ဝန်ဆောင်မှုသည် HTTP GET တောင်းဆိုချက်ကို ပေးပို့ခဲ့သည်။ /latest/meta-data/iam/security-credentialsပြီးပြီးချင်း၊ တူညီသော TCP ချိတ်ဆက်မှုတွင်၊ နောက်ထပ် GET တောင်းဆိုချက် /latest/meta-data/iam/security-credentials/arn:...

သဲလွန်စတစ်လျှောက်လုံး တောင်းဆိုမှုတိုင်းနှင့် ထပ်တလဲလဲ ဖြစ်နေကြောင်း ကျွန်ုပ်တို့ တွေ့ရှိရပါသည်။ DNS Resolution သည် ကျွန်ုပ်တို့၏ ကွန်တိန်နာများတွင် အနည်းငယ် နှေးကွေးနေပါသည် (ဤဖြစ်စဉ်အတွက် ရှင်းလင်းချက်သည် အလွန်စိတ်ဝင်စားစရာကောင်းသော်လည်း သီးခြားဆောင်းပါးအတွက် သိမ်းဆည်းထားမည်ဖြစ်ပါသည်)။ ကာလကြာရှည်နှောင့်နှေးရခြင်းအကြောင်းရင်းမှာ တောင်းဆိုချက်တစ်ခုစီတွင် AWS Instance Metadata ဝန်ဆောင်မှုသို့ ခေါ်ဆိုမှုများကြောင့်ဖြစ်သည်။

အယူအဆ 2- AWS သို့ မလိုအပ်သောခေါ်ဆိုမှုများ

အဆုံးမှတ်နှစ်ခုစလုံးသည် သက်ဆိုင်ပါသည်။ AWS Instance Metadata API. ကျွန်ုပ်တို့၏ microservice သည် Elasticsearch ကိုအသုံးပြုနေစဉ် ဤဝန်ဆောင်မှုကို အသုံးပြုပါသည်။ ခေါ်ဆိုမှုနှစ်ခုလုံးသည် အခြေခံခွင့်ပြုချက်လုပ်ငန်းစဉ်၏ တစ်စိတ်တစ်ပိုင်းဖြစ်သည်။ ပထမတောင်းဆိုချက်တွင် ဝင်ရောက်သည့် အဆုံးမှတ်သည် ဥပမာနှင့် ဆက်စပ်နေသည့် IAM အခန်းကဏ္ဍကို ထုတ်ပေးသည်။

/ # curl http://169.254.169.254/latest/meta-data/iam/security-credentials/
arn:aws:iam::<account_id>:role/some_role

ဒုတိယတောင်းဆိုချက်သည် ဤဥပမာအတွက် ယာယီခွင့်ပြုချက်အတွက် ဒုတိယအဆုံးမှတ်ကို တောင်းဆိုသည်-

/ # curl http://169.254.169.254/latest/meta-data/iam/security-credentials/arn:aws:iam::<account_id>:role/some_role`
{
    "Code" : "Success",
    "LastUpdated" : "2012-04-26T16:39:16Z",
    "Type" : "AWS-HMAC",
    "AccessKeyId" : "ASIAIOSFODNN7EXAMPLE",
    "SecretAccessKey" : "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
    "Token" : "token",
    "Expiration" : "2017-05-17T15:09:54Z"
}

ဖောက်သည်သည် ၎င်းတို့ကို အချိန်တိုအတွင်း အသုံးပြုနိုင်ပြီး လက်မှတ်အသစ်များကို အခါအားလျော်စွာ ရယူရပါမည် (၎င်းတို့မဖြစ်မီ Expiration) မော်ဒယ်သည် ရိုးရှင်းသည်- AWS သည် လုံခြုံရေးအကြောင်းပြချက်များအတွက် ယာယီသော့များကို မကြာခဏ လှည့်ပေးသည်၊ သို့သော် သုံးစွဲသူများသည် လက်မှတ်အသစ်များရရှိခြင်းနှင့် ဆက်စပ်သည့် စွမ်းဆောင်ရည်ပြစ်ဒဏ်အတွက် လျော်ကြေးပေးရန် ၎င်းတို့အား မိနစ်အနည်းငယ်ကြာ သိမ်းဆည်းနိုင်သည်။

AWS Java SDK သည် ဤလုပ်ငန်းစဉ်ကိုစီစဉ်ရန်တာဝန်ယူသင့်သော်လည်း အကြောင်းပြချက်အချို့ကြောင့် ၎င်းသည်မဖြစ်ပါ။

GitHub တွင် ပြဿနာများကို ရှာဖွေပြီးနောက်၊ ပြဿနာတစ်ခု တွေ့ရှိခဲ့သည်။ #1921. သူမသည် ကျွန်ုပ်တို့ကို နောက်ထပ် "တူး" မည့်လမ်းကြောင်းကို ဆုံးဖြတ်ရန် ကူညီပေးခဲ့သည်။

အောက်ပါအခြေအနေများထဲမှတစ်ခုဖြစ်ပေါ်လာသောအခါ AWS SDK သည် လက်မှတ်များကို အပ်ဒိတ်လုပ်သည်-

• သက်တမ်းကုန်ဆုံးရက် (Expiration) လဲကျသွားတယ်။ EXPIRATION_THRESHOLD15 မိနစ်အတွင်း hardcode လုပ်ထားသည်။
• လက်မှတ်များကို သက်တမ်းတိုးရန် နောက်ဆုံးကြိုးပမ်းမှုထက် အချိန်ပိုကြာလာခဲ့သည်။ REFRESH_THRESHOLDမိနစ် 60 ကြာ hardcode လုပ်ထားသည်။

ကျွန်ုပ်တို့ရရှိသည့် လက်မှတ်များ၏ အမှန်တကယ် သက်တမ်းကုန်ဆုံးရက်ကို ကြည့်ရန်၊ ကျွန်ုပ်တို့သည် အထက်ဖော်ပြပါ cURL ညွှန်ကြားချက်များကို ကွန်တိန်နာနှင့် EC2 စံနမူနာနှစ်ခုစလုံးမှ လုပ်ဆောင်ခဲ့သည်။ ကွန်တိန်နာမှရရှိသည့် လက်မှတ်၏တရားဝင်ကာလသည် အလွန်တိုတောင်းလာသည်- 15 မိနစ်တိတိ။

အခုတော့ အားလုံးရှင်းသွားပါပြီ- ပထမတောင်းဆိုချက်အတွက်၊ ကျွန်ုပ်တို့၏ဝန်ဆောင်မှုသည် ယာယီသက်သေခံလက်မှတ်များကို ရရှိခဲ့ပါသည်။ ၎င်းတို့သည် 15 မိနစ်ထက်ပို၍ အကျုံးမဝင်သောကြောင့် AWS SDK သည် ၎င်းတို့ကို နောက်ဆက်တွဲ တောင်းဆိုချက်တစ်ခုတွင် အပ်ဒိတ်လုပ်ရန် ဆုံးဖြတ်မည်ဖြစ်သည်။ တောင်းဆိုမှုတိုင်းနဲ့ ဒီလိုဖြစ်ခဲ့တယ်။

လက်မှတ်များ၏ တရားဝင်သက်တမ်းသည် အဘယ်ကြောင့် တိုတောင်းလာသနည်း။

AWS Instance Metadata ကို Kubernetes မဟုတ်ဘဲ EC2 instance များနှင့် အလုပ်လုပ်ရန် ဒီဇိုင်းထုတ်ထားသည်။ အခြားတစ်ဖက်တွင်၊ ကျွန်ုပ်တို့သည် အပလီကေးရှင်းမျက်နှာပြင်ကို မပြောင်းလိုပါ။ ဒီအတွက် ကျွန်တော်တို့ သုံးတယ်။ KIAM - Kubernetes node တစ်ခုစီရှိ အေးဂျင့်များကို အသုံးပြု၍ အသုံးပြုသူများ (အပလီကေးရှင်းများကို အစုအဝေးတစ်ခုသို့ အသုံးချနေသော အင်ဂျင်နီယာများ) အား ၎င်းတို့သည် EC2 ဖြစ်ရပ်များကဲ့သို့ pods များရှိ ကွန်တိန်နာများသို့ IAM အခန်းကဏ္ဍများကို သတ်မှတ်ပေးနိုင်ရန် ခွင့်ပြုသည့်ကိရိယာတစ်ခုဖြစ်သည်။ KIAM သည် AWS Instance Metadata ဝန်ဆောင်မှုသို့ ခေါ်ဆိုမှုများကို ကြားဖြတ်ပြီး AWS ထံမှ ယခင်က ၎င်းတို့ကို လက်ခံရရှိခဲ့ပြီး ၎င်းတို့ကို ၎င်း၏ cache မှ လုပ်ဆောင်ပေးပါသည်။ အပလီကေးရှင်းအမြင်အရတော့ ဘာမှ မပြောင်းလဲပါဘူး။

KIAM မှ ကာလတို လက်မှတ်များ ထောက်ပံ့ပေးသည်။ pod တစ်ခု၏ ပျမ်းမျှသက်တမ်းသည် EC2 instance ထက်တိုသည်ဟု ထည့်သွင်းစဉ်းစားခြင်းသည် အဓိပ္ပါယ်ရှိပါသည်။ လက်မှတ်များအတွက် မူရင်းတရားဝင်ကာလ တူညီသော 15 မိနစ်.

ရလဒ်အနေဖြင့် တစ်ခုနှင့်တစ်ခုအပေါ်တွင် ပုံသေတန်ဖိုးနှစ်ခုကို ထပ်တင်ပါက ပြဿနာတစ်ခု ဖြစ်ပေါ်လာပါသည်။ အပလီကေးရှင်းတစ်ခုသို့ ပေးထားသည့် လက်မှတ်တစ်ခုစီသည် 15 မိနစ်အကြာတွင် သက်တမ်းကုန်ဆုံးသည်။ သို့သော်၊ AWS Java SDK သည် ၎င်း၏သက်တမ်းကုန်ဆုံးရက်မတိုင်မီ 15 မိနစ်ထက်နည်းသော မည်သည့်လက်မှတ်ကိုမဆို သက်တမ်းတိုးရန် တွန်းအားပေးသည်။

ရလဒ်အနေဖြင့်၊ ယာယီသက်သေခံလက်မှတ်အား တောင်းဆိုချက်တစ်ခုစီဖြင့် သက်တမ်းတိုးရန် တွန်းအားပေးရမည်ဖြစ်ပြီး၊ ၎င်းသည် AWS API သို့ ခေါ်ဆိုမှုအချို့ပါဝင်ပြီး latency သိသိသာသာတိုးလာစေသည်။ AWS Java SDK တွင် ကျွန်ုပ်တို့တွေ့ရှိခဲ့သည်။ အင်္ဂါရပ်တောင်းဆိုချက်အလားတူပြဿနာကိုဖော်ပြသည်။

ဖြေရှင်းချက်က ရိုးရှင်းပါတယ်။ သက်တမ်းပိုရှည်သော လက်မှတ်များတောင်းဆိုရန်အတွက် KIAM ကို ရိုးရိုးရှင်းရှင်း ပြန်လည်ပြင်ဆင်ထားပါသည်။ ထိုသို့ဖြစ်လာသည်နှင့်တပြိုင်နက်၊ တောင်းဆိုချက်များသည် AWS Metadata ဝန်ဆောင်မှုတွင်ပါဝင်ခြင်းမရှိဘဲ စတင်စီးဆင်းလာပြီး latency သည် EC2 ထက်ပင် အဆင့်နိမ့်ကျသွားပါသည်။

တွေ့ရှိချက်များ

ရွှေ့ပြောင်းခြင်းဆိုင်ရာ ကျွန်ုပ်တို့၏ အတွေ့အကြုံအပေါ် အခြေခံ၍ ပြဿနာများ၏ အဖြစ်အများဆုံး အရင်းအမြစ်များထဲမှ တစ်ခုသည် Kubernetes သို့မဟုတ် ပလပ်ဖောင်း၏ အခြားဒြပ်စင်များတွင် အမှားအယွင်းများ မဟုတ်ပါ။ ကျွန်ုပ်တို့တင်ဆောင်နေသော မိုက်ခရိုဝန်ဆောင်မှုများတွင် အခြေခံချို့ယွင်းချက်များကိုလည်း ကိုင်တွယ်ဖြေရှင်းခြင်းမပြုပါ။ မတူညီသောအချက်များ ပေါင်းစည်းထားခြင်းကြောင့် ပြဿနာများ မကြာခဏ ဖြစ်ပွားတတ်ပါသည်။

ကျွန်ုပ်တို့သည် ယခင်က တစ်ဦးနှင့်တစ်ဦး မဆက်ဆံဖူးသော ရှုပ်ထွေးသော စနစ်များကို အတူတကွ ပေါင်းစပ်ကာ ၎င်းတို့သည် တစ်ခုတည်းသော၊ ပိုမိုကြီးမားသော စနစ်တစ်ခုအဖြစ် အတူတကွ ဖြစ်ပေါ်လာလိမ့်မည်ဟု မျှော်လင့်ပါသည်။ ကံမကောင်းစွာပဲ၊ ဒြပ်စင်များများလေ၊ အမှားများအတွက်နေရာများလေ၊ entropy ပိုမြင့်လေဖြစ်သည်။

ကျွန်ုပ်တို့၏အခြေအနေတွင်၊ မြင့်မားသော latency သည် Kubernetes၊ KIAM၊ AWS Java SDK သို့မဟုတ် ကျွန်ုပ်တို့၏ microservice ရှိ ချို့ယွင်းချက်များ သို့မဟုတ် ဆိုးရွားသောဆုံးဖြတ်ချက်များကြောင့် မဟုတ်ပါ။ ၎င်းသည် သီးခြားလွတ်လပ်သော ပုံသေဆက်တင်နှစ်ခုကို ပေါင်းစပ်ခြင်း၏ ရလဒ်ဖြစ်သည်- KIAM တွင်တစ်ခု၊ နောက်တစ်ခုသည် AWS Java SDK တွင်ဖြစ်သည်။ သီးခြားစီ၊ ဘောင်နှစ်ခုစလုံးသည် အဓိပ္ပာယ်ရှိပါသည်- AWS Java SDK ရှိ အသက်ဝင်သော သက်သေခံလက်မှတ် သက်တမ်းတိုးခြင်းမူဝါဒနှင့် KAIM ရှိ လက်မှတ်များ၏ သက်တမ်းတိုကာလ။ ဒါပေမယ့် ပေါင်းလိုက်တဲ့အခါ ရလဒ်တွေက မှန်းဆလို့ မရပါဘူး။ အမှီအခိုကင်းပြီး ကျိုးကြောင်းဆီလျော်သော ဖြေရှင်းချက်နှစ်ခုကို ပေါင်းစပ်လိုက်သောအခါ အဓိပ္ပါယ်ရှိရန် မလိုအပ်ပါ။

PS ဘာသာပြန်မှ

AWS IAM ကို Kubernetes နှင့် ပေါင်းစည်းရန်အတွက် KIAM utility ၏ တည်ဆောက်ပုံအကြောင်း ပိုမိုလေ့လာနိုင်ပါသည်။ ဤဆောင်းပါးတွင် ၎င်း၏ဖန်တီးသူများထံမှ။

ကျွန်ုပ်တို့၏ဘလော့ဂ်တွင်လည်းဖတ်ပါ

• «ထုတ်လုပ်မှုတွင် Kubernetes ကျရှုံးမှု ဇာတ်လမ်း 3 ခု- ဆက်စပ်မှု ဆန့်ကျင်မှု၊ လှပသော ပိတ်ပစ်မှု၊ webhook";
• «Kubernetes ရှိ pod ဦးစားပေးအရာများသည် Grafana Labs တွင် အလုပ်မလုပ်သည့်နည်း";
• «Kubernetes လည်ပတ်မှုတွင် ဖျော်ဖြေရေးစနစ် ချို့ယွင်းချက် 6 ခု [နှင့် ၎င်းတို့၏ ဖြေရှင်းချက်]";
• «ကျွန်ုပ်တို့၏ SRE နေ့စဉ်ဘဝမှ လက်တွေ့ကျသော ပုံပြင် 6 ခု"။

source: www.habr.com