下面内容还处于测试阶段,生产上是否能保证集群稳定暂时还不清楚。😁😁
事故
今天我们的开发环境由于java应用内存抢占原因导致k8s集群worker节点全部宕机,主要原因是程序和资源没进行限制规划,且kubelet也没配置资源预留,那host上所有资源都是可以给pod调配使用的,这样就引起集群雪崩效应,比如集群内有一台上跑的pod没做resource limt导致占用资源过大导致将宿主机压死了,此时这个节点在kubernetes内就是一个no ready的状态了,kubernetes会将这台host上所有的pod在其他节点上重建,也就意味着那个有问题的pod重新跑在其他正常的节点上,将另外正常的节点压跨。循怀下去直到集群内所有主机都挂了,这就是集群雪崩效应。
解决办法
在kubernetes中可以通过给kubelet配置参数预留资源给系统进程和kubernetes进程保证它们稳定运行。目前能实现到cpu、memory、ephemeral-storage层面的资源预留。
重点提两点
cpu:cpu是配置cpu shares实际上对应的是cpu的优先级,简单来说,这个在cpu繁忙时,它能有更高优先级获取更多cpu资源。
ephemeral-storage是kubernetes1.8开始引入的一个资源限制的对象,kubernetes 1.10版本中kubelet默认已经打开的了,主要是用于对本地临时存储使用空间大小的限制,如对pod的empty dir、/var/lib/kubelet、日志、容器可读写层的使用大小的限制。
配置
基本概念
在讲配置之前我们先了解几个概念:
Node capacity:节点总共的资源
kube-reserved:给kubernetes进程预留的资源
system-reserved:给操作系统预留的资源
eviction-threshold:kubelet eviction的阀值
allocatable:留给pod使用的资源
node_allocatable=Node_capacity-(kube-reserved+system-reserved+hard-eviction)
Node Capacity --------------------------- | kube-reserved | |-------------------------| | system-reserved | |-------------------------| | eviction-threshold | |-------------------------| | | | allocatable | | (available for pods) | | | | | ---------------------------
Kubernetes 节点上的 Allocatable 被定义为 pod 可用计算资源量。调度器不会超额申请 Allocatable。目前支持 CPU, memory 和 storage 这几个参数。
Node Allocatable 暴露为 API 中 v1.Node 对象的一部分,也是 CLI 中 kubectl describe node 的一部分。
在 kubelet 中,可以为两类系统守护进程预留资源。
使用kubelet参数进行限制
此方法适用于老版本的kubernetes集群,在新版本(1.11之前)中已经不适用了。
https://k8smeetup.github.io/docs/tasks/administer-cluster/reserve-compute-resources/
https://www.bladewan.com/2018/01/26/k8s_resource_resver/
使用kubelet config进行限制
kubelet 较新的版本都采用kubelet config对集群的kubelet进行配置,此处采用静态配置方式,当然也可以使用动态配置方式。
# 编辑文档kubelet config 文件 vim /var/lib/kubelet/config
配置资源预留
# 找到enforceNodeAllocatable 注释掉 #enforceNodeAllocatable: #- pods # 添加以下内容,系统和kubelet均预留CPU500m内存500Mi磁盘5G systemReserved: cpu: "500m" memory: "500Mi" ephemeral-storage: "5Gi" kubeReserved: cpu: "500m" memory: "500Mi" ephemeral-storage: "5Gi" systemReservedCgroup: /system.slice kubeReservedCgroup: /kubelet.service EnforceNodeAllocatable: - pods - kube-reserved - system-reserved
配置软驱逐(默认为硬驱逐)
软驱逐有资源驱逐等待时间,硬驱逐为立刻驱逐。
# evictionHard 注释掉,并在后面新增以下内容 #evictionHard: EvictionSoft: imagefs.available: 15% memory.available: 10% nodefs.available: 10% nodefs.inodesFree: 5% EvictionSoftGracePeriod: memory.available: "5m" nodefs.available: "2m" nodefs.inodesFree: "2m" imagefs.available: "2m"
# 如果你使用的cgroup driver是croup还需要进行以下操作 # cpuset和hugetlb subsystem是默认没有初始化system.slice手动创建, mkdir -p /sys/fs/cgroup/hugetlb/system.slice/kubelet.service/ mkdir -p /sys/fs/cgroup/cpuset/system.slice/kubelet.service/ # 配置在kubelet中避免重启失效 ExecStartPre=/usr/bin/mkdir -p /sys/fs/cgroup/cpuset/system.slice/kubelet.service ExecStartPre=/usr/bin/mkdir -p /sys/fs/cgroup/hugetlb/system.slice/kubelet.service
重启kubelet
service kubelet restart
验证
[root@m3 pki]# kubectl describe node m1 Name: m1 Roles: master Labels: beta.kubernetes.io/arch=amd64 .... CreationTimestamp: Mon, 26 Aug 2019 20:35:35 -0400 ... Addresses: InternalIP: 172.27.100.13 Hostname: m1 Capacity: cpu: 4 ephemeral-storage: 36678148Ki hugepages-1Gi: 0 hugepages-2Mi: 0 memory: 8010576Ki pods: 110 Allocatable: cpu: 3 ephemeral-storage: 23065162901 hugepages-1Gi: 0 hugepages-2Mi: 0 memory: 6884176Ki pods: 110
- 可以看到预留后,可用CPU为3,不预留为4,内存是一样的计算方式,此处预留了1G(500Mi+500Mi)
参考文档
https://github.com/rootsongjc/qa/issues/3
https://cloud.tencent.com/developer/article/1097002
https://blog.csdn.net/ahilll/article/details/82109008
http://dockone.io/article/4797
https://kubernetes.io/docs/tasks/administer-cluster/reconfigure-kubelet/
https://kubernetes.io/zh/docs/tasks/administer-cluster/kubelet-config-file/
https://github.com/kubernetes/kubernetes/blob/master/staging/src/k8s.io/kubelet/config/v1beta1/types.go
https://www.bladewan.com/2018/01/26/k8s_resource_resver/