大家好,又见面了,我是你们的朋友全栈君。
微信公众号:运维开发故事,作者:姜总
背景
今天发现好多pod的状态都是Evicted,然后我没有监控的权限,本来想看看grafana上监控图是否出现了特殊情况,无奈没权限看。
因为我发现pod出现大量的Evicted状态的时候,查看pod所在的node节点,距离当时发生Evicted的时间已经是7小时之久了。因此可能会存在一种原因:发生了Evicted的时候的确磁盘已经超过默认的kubelet的资源预留参数了。但是问题发生后,触发了阈值,已经回收了磁盘空间,导致我看的时候磁盘空间已经恢复。
在每个 Kubernetes Node节点 上,kubelet 默认根目录是 /var/lib/kubelet 和 日志目录 /var/log 保存在节点的系统分区上,这个分区同时也会被Pod的 EmptyDir 类型的 volume、容器日志、镜像层、容器的可写层所占用。ephemeral-storage 便是对系统分区进行管理。
大量的Evicted状态的pod
$ kubectl get po -A -o wide | grep -v "Running"
NAMESPACE NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES
nsop account-service-pre-master-6db67f5cc-5nrgf 0/1 Evicted 0 103m <none> node2.pre.ayunw.cn <none> <none>
nsop account-service-pre-master-6db67f5cc-7zbrf 0/1 Evicted 0 103m <none> node2.pre.ayunw.cn <none> <none>
nsop account-service-pre-master-6db67f5cc-h78hv 0/1 Evicted 0 103m <none> node2.pre.ayunw.cn <none> <none>
nsop account-service-pre-master-6db67f5cc-jj4xx 0/1 Evicted 0 103m <none> node2.pre.ayunw.cn <none> <none>
nsop account-service-pre-master-6db67f5cc-jz4cs 0/1 Evicted 0 103m <none> node2.pre.ayunw.cn <none> <none>
nsop account-service-pre-master-6db67f5cc-km2cz 0/1 Evicted 0 103m <none> node2.pre.ayunw.cn <none> <none>
当我们的集群中有太多被驱逐的 pod 时,这会导致网络负载。因为每个 pod 即使被驱逐是连接到网络的,并且在云 Kubernetes 集群的情况下,也会阻塞一个 IP 地址,这可能导致如果您的集群有固定的 IP 地址池,也会耗尽 IP 地址。此外,当我们有太多处于 Evicted 状态的 Pod 时,通过运行kubectl get pod命令来监控 Pod 会变得很困难,因为会存在非常多的 Evicted Pod。当然你可以通过grep等手段过滤掉Evicted状态的pod。
查看Evicted的pod的任意一个node
describe任意一个pod查看,发现Warning提示DiskPressure,表示磁盘存在压力了。
$ kubectl describe po account-service-pre-master-6db67f5cc-5nrgf -n nsop
...
QoS Class: Burstable
Node-Selectors: <none>
Tolerations: node.kubernetes.io/not-ready:NoExecute op=Exists for 300s
node.kubernetes.io/unreachable:NoExecute op=Exists for 300s
topology.kubernetes.io/env=pre:NoSchedule
topology.kubernetes.io/region=bce-gz:NoSchedule
topology.kubernetes.io/type=appserver:NoSchedule
topology.kubernetes.io/zone:NoSchedule op=Exists
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Normal Scheduled 100m default-scheduler Successfully assigned nsop/account-service-pre-master-6db67f5cc-5nrgf to node2.pre.ayunw.cn
Warning Evicted 100m kubelet, node2.pre.ayunw.cn The node had condition: [DiskPressure].
登录node2.pre.ayunw.cn查看
[root@node2-pre-ayunw.cn ~]# df -Th | egrep -v "overlay2|kubernetes|docker"
Filesystem Type Size Used Avail Use% Mounted on
devtmpfs devtmpfs 32G 0 32G 0% /dev
tmpfs tmpfs 32G 0 32G 0% /dev/shm
tmpfs tmpfs 32G 5.9M 32G 1% /run
tmpfs tmpfs 32G 0 32G 0% /sys/fs/cgroup
/dev/vda1 ext4 50G 7.9G 39G 17% /
/dev/vdb1 xfs 200G 138G 63G 69% /data
tmpfs tmpfs 6.3G 0 6.3G 0% /run/user/0
发现还有69%的磁盘空间,似乎也没有什么问题啊,应该磁盘空间也还很充足的。
iostat命令查看磁盘IO
[root@node2-pre-ayunw.cn ~]# iostat -xk 1 3
Linux 5.10.8-1.el8.elrepo.x86_64 (node2-pre-ayunw.cn) 08/31/2021 _x86_64_ (32 CPU)
avg-cpu: %user %nice %system %iowait %steal %idle
1.86 0.00 1.77 0.03 0.00 96.34
Device r/s w/s rkB/s wkB/s rrqm/s wrqm/s %rrqm %wrqm r_await w_await aqu-sz rareq-sz wareq-sz svctm %util
vda 0.02 2.77 0.40 22.43 0.00 2.14 4.57 43.58 1.51 0.75 0.00 24.11 8.09 0.38 0.11
vdb 0.08 126.81 3.31 519.35 0.00 0.54 0.31 0.43 3.20 0.56 0.07 40.29 4.10 0.47 6.01
avg-cpu: %user %nice %system %iowait %steal %idle
3.09 0.00 3.34 0.03 0.00 93.54
Device r/s w/s rkB/s wkB/s rrqm/s wrqm/s %rrqm %wrqm r_await w_await aqu-sz rareq-sz wareq-sz svctm %util
vda 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
vdb 0.00 51.00 0.00 168.50 0.00 0.00 0.00 0.00 0.00 0.45 0.02 0.00 3.30 0.55 2.80
avg-cpu: %user %nice %system %iowait %steal %idle
2.74 0.00 2.81 0.00 0.00 94.45
Device r/s w/s rkB/s wkB/s rrqm/s wrqm/s %rrqm %wrqm r_await w_await aqu-sz rareq-sz wareq-sz svctm %util
vda 0.00 3.00 0.00 40.00 0.00 7.00 0.00 70.00 0.00 0.67 0.00 0.00 13.33 1.00 0.30
vdb 0.00 62.00 0.00 619.50 0.00 7.00 0.00 10.14 0.00 0.58 0.04 0.00 9.99 0.50 3.10
目前似乎也看不到有什么IO压力 。但是由于我手上没有监控权限,估计也是直接就没有对pod做监控。然后describe的时候看到问题发生也是7个小时之前的事情了,所以的话这边猜测可能是当时已经触发了kubelet的eviction-hard,然后磁盘已经有部分空间被回收了,而且压力可能也已经下去了。
查看node上的日志
查看节点上kubelet日志和message日志,并没有任何Evicted的日志被发现。
$ tail -500 kubelet.log | grep "Evicted"
$ tail -500 /var/log/messages | grep "Evicted"
那当前情况下就只能临时先处理掉这个Evicted状态的pod了
$ kubectl get po -n nsop --field-selector 'status.phase!=Running' -o json| kubectl delete -f -
因为是磁盘空间的问题,所以想到去检查一下是否有持续增长的目录。最后排查发现,所有出现Evicted状态的pod所处的节点似乎都有一个共性:那就是都启用了skywalking,并且以emptyDir的形式写日志到本地临时存储中。
目前公司将默认的docker目录和kubelet目录都改到了/data目录下,上pod所在的node,到/data/目录下通过du -sh ./* | grep G命令去查看了一下有好多/data/kubernetes/kubelet/pods/xxx/volumes/kubernetes.io~empty-dir/vol-apm-empty/logs的目录下存在skywalking-api.log的日志,而且都是轮转的日志,默认没有设置日志保留时间。
skywalking-agent的配置文件中默认开启了以下几个参数:
$ egrep -v "^$|^#" agent.config
agent.service_name=${SW_AGENT_NAME:Your_ApplicationName}
collector.backend_service=${SW_AGENT_COLLECTOR_BACKEND_SERVICES:127.0.0.1:11800}
logging.file_name=${SW_LOGGING_FILE_NAME:skywalking-api.log}
logging.level=${SW_LOGGING_LEVEL:INFO}
plugin.mount=${SW_MOUNT_FOLDERS:plugins,activations}
skywalking-agent在emptyDir下的日志
[root@node2-pre-ayunw.cn vol-apm-empty]# cd logs/
[root@node2-pre-ayunw.cn logs]# ll
total 4327672
-rw-r--r-- 1 root root 260328481 Aug 31 09:43 skywalking-api.log
-rw-r--r-- 1 root root 314573222 Aug 12 02:56 skywalking-api.log.2021_08_12_02_56_35
-rw-r--r-- 1 root root 314573394 Aug 13 15:01 skywalking-api.log.2021_08_13_15_01_56
-rw-r--r-- 1 root root 314574277 Aug 15 03:12 skywalking-api.log.2021_08_15_03_12_26
-rw-r--r-- 1 root root 314574161 Aug 16 15:21 skywalking-api.log.2021_08_16_15_21_13
-rw-r--r-- 1 root root 314574334 Aug 18 03:31 skywalking-api.log.2021_08_18_03_31_18
-rw-r--r-- 1 root root 314572887 Aug 19 15:40 skywalking-api.log.2021_08_19_15_40_22
-rw-r--r-- 1 root root 314574238 Aug 21 03:44 skywalking-api.log.2021_08_21_03_44_28
-rw-r--r-- 1 root root 314574144 Aug 22 15:49 skywalking-api.log.2021_08_22_15_49_08
-rw-r--r-- 1 root root 314573963 Aug 24 03:51 skywalking-api.log.2021_08_24_03_51_28
-rw-r--r-- 1 root root 314572991 Aug 25 15:54 skywalking-api.log.2021_08_25_15_54_21
-rw-r--r-- 1 root root 314573321 Aug 27 03:57 skywalking-api.log.2021_08_27_03_57_11
-rw-r--r-- 1 root root 314572890 Aug 28 16:01 skywalking-api.log.2021_08_28_16_01_26
-rw-r--r-- 1 root root 314573311 Aug 30 04:05 skywalking-api.log.2021_08_30_04_05_34
我的docker根目录被更改过,不是默认的/var/lib/docker,而是/data/docker。我的k8s的kubelet目录也是被更改过的,在/data/kubernetes/kubelet。
临时解决日志爆满的两种方法
在K8s-master节点查看Evicted的pod调度在哪个节点,然后到/data/kubernetes/kubelet/pods目录下去通过du -sh 命令找到目录占用量大的pod,然后将截图指出的轮转后(就是带上时间2021_08_17这一类)的日志文件删除
直接重新删除pod,其实只要是pod重启后,EmptyDir目录就会被删除掉。
操作步骤
$ cd /data/kubernetes/kubelet/pods
$ du -sh ./* | grep G
1.3G ./02c9511d-0787-49f1-8c59-0db239baee79
1.3G ./079f3ca0-810d-468d-9136-75f3d3235b2d
4.8G ./07fc67f7-d46d-4d0c-8f6c-401e14705ae1
3.0G ./091594a0-b5ac-45c2-8ad9-7dcfc91c9e55
1.8G ./130a1b35-b447-43e1-8802-eb74aefa566c
1.2G ./1b257c27-cbaf-49f8-bca3-ceadc467aad6
2.8G ./2ec50216-f81e-4e83-922d-14316762dee2
7.0G ./321baae6-1efe-4535-8a20-0fdfa6cc3117
8.0G ./46680114-11f7-47af-9ee2-347f56592924
...
我这里找到了占用7.0G大小的pod,根据目录名称找到pod名字,然后触发了这个pod的cicd,也就相当于更新了这个pod的deployment.yaml,然后apply -f重新生成了一遍这个pod
$ docker ps -a | grep "321baae6-1efe-4535-8a20-0fdfa6cc3117"
a69b2635ba98 registry.ayunw.cn/tsp/msmessagecenter "/startApp.sh" 5 weeks ago Up 5 weeks k8s_msmessagecenter-perf-dev-v1-0-0_msmessagecenter-perf-dev-v1-0-0-7f746b84bf-wb4g5_tsp_321baae6-1efe-4535-8a20-0fdfa6cc3117_0
c8f2cc0a2737 874552b27b34 "sh -c 'set -ex;mkdi…" 5 weeks ago Exited (0) 5 weeks ago k8s_init-skywalking-agent_msmessagecenter-perf-dev-v1-0-0-7f746b84bf-wb4g5_tsp_321baae6-1efe-4535-8a20-0fdfa6cc3117_0
c415f52e7489 registry.ayunw.cn/library/k8s.gcr.io/pause:3.2 "/pause" 5 weeks ago Up 5 weeks k8s_POD_msmessagecenter-perf-dev-v1-0-0-7f746b84bf-wb4g5_tsp_321baae6-1efe-4535-8a20-0fdfa6cc3117_0
等pod被完全删除后查看这个目录已经消失
$ du -sh ./* | grep G
1.3G ./02c9511d-0787-49f1-8c59-0db239baee79
1.3G ./079f3ca0-810d-468d-9136-75f3d3235b2d
4.8G ./07fc67f7-d46d-4d0c-8f6c-401e14705ae1
3.0G ./091594a0-b5ac-45c2-8ad9-7dcfc91c9e55
1.8G ./130a1b35-b447-43e1-8802-eb74aefa566c
1.2G ./1b257c27-cbaf-49f8-bca3-ceadc467aad6
2.8G ./2ec50216-f81e-4e83-922d-14316762dee2
8.0G ./46680114-11f7-47af-9ee2-347f56592924
...
永久解决日志保留个数方法
- 直接在Dockerfile打镜像的时候更改参数或者提前写好配置文件然后构建镜像的时候COPY进去
我这里直接改好agent.config参数然后Dockerfile中COPY进去了
$ cat Dockerfile
FROM registry.ayunw.cn/library/alpine:3.12.0
ENV LANG=C.UTF-8 \
SKYWLKING_AGENT_VERSION=8.6.0
RUN set -eux && mkdir -p /opt/skywalking/agent \
&& apk add wget \
&& wget https://downloads.apache.org/skywalking/${SKYWLKING_AGENT_VERSION}/apache-skywalking-apm-es7-${SKYWLKING_AGENT_VERSION}.tar.gz -P /tmp/ \
&& cd /tmp && tar zxf apache-skywalking-apm-es7-${SKYWLKING_AGENT_VERSION}.tar.gz \
&& mv /tmp/apache-skywalking-apm-bin-es7/agent/* /opt/skywalking/agent \
&& rm -f /opt/skywalking/agent/optional-plugins/apm-spring-annotation-plugin-8.6.0.jar /opt/skywalking/agent/plugins/thrift-plugin-8.6.0.jar \
&& mv /opt/skywalking/agent/plugins/thrift-plugin-8.6.0.jar /tmp/thrift-plugin-8.6.0.jar \
&& cp -r /opt/skywalking/agent/optional-plugins/* /opt/skywalking/agent/plugins/ \
&& unset export \
&& rm -rf /tmp/* /opt/skywalking/agent/config/agent.config
COPY agent.config /opt/skywalking/agent/config/
WORKDIR /
$ egrep -v "^$|^#" agent.config
agent.service_name=${SW_AGENT_NAME:Your_ApplicationName}
collector.backend_service=${SW_AGENT_COLLECTOR_BACKEND_SERVICES:127.0.0.1:11800}
logging.file_name=${SW_LOGGING_FILE_NAME:skywalking-api.log}
logging.level=${SW_LOGGING_LEVEL:INFO}
plugin.mount=${SW_MOUNT_FOLDERS:plugins,activations}
# 以下参数是我更改后的,表示日志保留个数为3个
logging.max_history_files=${SW_LOGGING_MAX_HISTORY_FILES:3}
其实agent.config文件中是有logging.max_history_files=${SW_LOGGING_MAX_HISTORY_FILES:-1}这一行的,但是默认被注释掉了。我这里将它打开,然后将-1改成了3。这行配置是JAVA中的写法,意思是默认是-1表示”最大历史日志文件保留个数”,而-1则表示不设置最大历史日志文件保留,也就是一直轮转,不会做日志清理。参数意思可以参考skywalking官网。
然后重新构建这个skywalking-agent镜像,在deployment中引用即可。
$ cat deployment.yaml
apiVersion: apps/v1
kind: Deployment
dnsPolicy: ClusterFirst
terminationGracePeriodSeconds: 10
serviceAccountName: default
imagePullSecrets:
- name: registry-auth-ayunw-cn
initContainers:
- name: init-skywalking-agent
image: "registry.ayunw.cn/library/skywalking-agent:33-ac402d20"
command:
- 'sh'
- '-c'
- 'set -ex;mkdir -p /skywalking/agent;cp -r /opt/skywalking/agent/* /skywalking/agent;'
volumeMounts:
- name: vol-apm-empty
mountPath: /skywalking/agent
containers:
- name: demo-hello-pre-master
image: "registry.ayunw.cn/paas/demo-hello:537-c87b6177"
...
volumeMounts:
- name: vol-apm-empty
mountPath: /skywalking/agent
volumes:
- name: vol-apm-empty
emptyDir: {}
其实这里的磁盘DiskPressure目前只能大概排查到skywalking导致,但没有监控的情况下并不能百分百确认就是skywalking引起,因此如果需要更精准的定位这个问题,还需要通过监控等手段去排查。如果各位有更好的解决Evicted状态的pod这种问题的方法,也欢迎后台回复,一起交流。
发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/145319.html原文链接:https://javaforall.cn
【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛
【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...
