[[421065]]

背景

今天發(fā)現(xiàn)好多pod的狀態(tài)都是Evicted，然后我沒(méi)有監(jiān)控的權(quán)限，本來(lái)想看看grafana上監(jiān)控圖是否出現(xiàn)了特殊情況，無(wú)奈沒(méi)權(quán)限看。

因?yàn)槲野l(fā)現(xiàn)pod出現(xiàn)大量的Evicted狀態(tài)的時(shí)候，查看pod所在的node節(jié)點(diǎn)，距離當(dāng)時(shí)發(fā)生Evicted的時(shí)間已經(jīng)是7小時(shí)之久了。因此可能會(huì)存在一種原因：發(fā)生了Evicted的時(shí)候的確磁盤(pán)已經(jīng)超過(guò)默認(rèn)的kubelet的資源預(yù)留參數(shù)了。但是問(wèn)題發(fā)生后，觸發(fā)了閾值，已經(jīng)回收了磁盤(pán)空間，導(dǎo)致我看的時(shí)候磁盤(pán)空間已經(jīng)恢復(fù)。

在每個(gè) Kubernetes Node節(jié)點(diǎn) 上，kubelet 默認(rèn)根目錄是 /var/lib/kubelet 和 日志目錄 /var/log 保存在節(jié)點(diǎn)的系統(tǒng)分區(qū)上，這個(gè)分區(qū)同時(shí)也會(huì)被Pod的 EmptyDir 類(lèi)型的 volume、容器日志、鏡像層、容器的可寫(xiě)層所占用。ephemeral-storage 便是對(duì)系統(tǒng)分區(qū)進(jìn)行管理。

大量的Evicted狀態(tài)的pod

$ kubectl get po -A -o wide | grep -v "Running" 
NAMESPACE              NAME                                                              READY   STATUS             RESTARTS   AGE     IP              NODE                           NOMINATED NODE   READINESS GATES 
nsop                   account-service-pre-master-6db67f5cc-5nrgf                        0/1     Evicted            0          103m    <none>          node2.pre.ayunw.cn           <none>           <none> 
nsop                   account-service-pre-master-6db67f5cc-7zbrf                        0/1     Evicted            0          103m    <none>          node2.pre.ayunw.cn           <none>           <none> 
nsop                   account-service-pre-master-6db67f5cc-h78hv                        0/1     Evicted            0          103m    <none>          node2.pre.ayunw.cn           <none>           <none> 
nsop                   account-service-pre-master-6db67f5cc-jj4xx                        0/1     Evicted            0          103m    <none>          node2.pre.ayunw.cn           <none>           <none> 
nsop                   account-service-pre-master-6db67f5cc-jz4cs                        0/1     Evicted            0          103m    <none>          node2.pre.ayunw.cn           <none>           <none> 
nsop                   account-service-pre-master-6db67f5cc-km2cz                        0/1     Evicted            0          103m    <none>          node2.pre.ayunw.cn           <none>           <none> 

當(dāng)我們的集群中有太多被驅(qū)逐的 pod 時(shí)，這會(huì)導(dǎo)致網(wǎng)絡(luò)負(fù)載。因?yàn)槊總€(gè) pod 即使被驅(qū)逐是連接到網(wǎng)絡(luò)的，并且在云 Kubernetes 集群的情況下，也會(huì)阻塞一個(gè) IP 地址，這可能導(dǎo)致如果您的集群有固定的 IP 地址池，也會(huì)耗盡 IP 地址。此外，當(dāng)我們有太多處于 Evicted 狀態(tài)的 Pod 時(shí)，通過(guò)運(yùn)行kubectl get pod命令來(lái)監(jiān)控 Pod 會(huì)變得很困難，因?yàn)闀?huì)存在非常多的 Evicted Pod。當(dāng)然你可以通過(guò)grep等手段過(guò)濾掉Evicted狀態(tài)的pod。

查看Evicted的pod的任意一個(gè)node

describe任意一個(gè)pod查看，發(fā)現(xiàn)Warning提示DiskPressure，表示磁盤(pán)存在壓力了。

$ kubectl describe po account-service-pre-master-6db67f5cc-5nrgf -n nsop 
... 
QoS Class:       Burstable 
Node-Selectors:  <none> 
Tolerations:     node.kubernetes.io/not-ready:NoExecute op=Exists for 300s 
                 node.kubernetes.io/unreachable:NoExecute op=Exists for 300s 
                 topology.kubernetes.io/env=pre:NoSchedule 
                 topology.kubernetes.io/region=bce-gz:NoSchedule 
                 topology.kubernetes.io/type=appserver:NoSchedule 
                 topology.kubernetes.io/zone:NoSchedule op=Exists 
Events: 
  Type     Reason     Age   From                               Message 
  ----     ------     ----  ----                               ------- 
  Normal   Scheduled  100m  default-scheduler                  Successfully assigned nsop/account-service-pre-master-6db67f5cc-5nrgf to node2.pre.ayunw.cn 
  Warning  Evicted    100m  kubelet, node2.pre.ayunw.cn        The node had condition: [DiskPressure]. 

登錄node2.pre.ayunw.cn查看

[root@node2-pre-ayunw.cn ~]# df -Th | egrep -v "overlay2|kubernetes|docker" 
Filesystem     Type      Size  Used Avail Use% Mounted on 
devtmpfs       devtmpfs   32G     0   32G   0% /dev 
tmpfs          tmpfs      32G     0   32G   0% /dev/shm 
tmpfs          tmpfs      32G  5.9M   32G   1% /run 
tmpfs          tmpfs      32G     0   32G   0% /sys/fs/cgroup 
/dev/vda1      ext4       50G  7.9G   39G  17% / 
/dev/vdb1      xfs       200G  138G   63G  69% /data 
tmpfs          tmpfs     6.3G     0  6.3G   0% /run/user/0 

發(fā)現(xiàn)還有69%的磁盤(pán)空間，似乎也沒(méi)有什么問(wèn)題啊，應(yīng)該磁盤(pán)空間也還很充足的。

iostat命令查看磁盤(pán)IO

[root@node2-pre-ayunw.cn ~]# iostat -xk 1 3 
Linux 5.10.8-1.el8.elrepo.x86_64 (node2-pre-ayunw.cn)  08/31/2021  _x86_64_ (32 CPU) 
 
avg-cpu:  %user   %nice %system %iowait  %steal   %idle 
           1.86    0.00    1.77    0.03    0.00   96.34 
 
Device            r/s     w/s     rkB/s     wkB/s   rrqm/s   wrqm/s  %rrqm  %wrqm r_await w_await aqu-sz rareq-sz wareq-sz  svctm  %util 
vda              0.02    2.77      0.40     22.43     0.00     2.14   4.57  43.58    1.51    0.75   0.00    24.11     8.09   0.38   0.11 
vdb              0.08  126.81      3.31    519.35     0.00     0.54   0.31   0.43    3.20    0.56   0.07    40.29     4.10   0.47   6.01 
 
avg-cpu:  %user   %nice %system %iowait  %steal   %idle 
           3.09    0.00    3.34    0.03    0.00   93.54 
 
Device            r/s     w/s     rkB/s     wkB/s   rrqm/s   wrqm/s  %rrqm  %wrqm r_await w_await aqu-sz rareq-sz wareq-sz  svctm  %util 
vda              0.00    0.00      0.00      0.00     0.00     0.00   0.00   0.00    0.00    0.00   0.00     0.00     0.00   0.00   0.00 
vdb              0.00   51.00      0.00    168.50     0.00     0.00   0.00   0.00    0.00    0.45   0.02     0.00     3.30   0.55   2.80 
 
avg-cpu:  %user   %nice %system %iowait  %steal   %idle 
           2.74    0.00    2.81    0.00    0.00   94.45 
 
Device            r/s     w/s     rkB/s     wkB/s   rrqm/s   wrqm/s  %rrqm  %wrqm r_await w_await aqu-sz rareq-sz wareq-sz  svctm  %util 
vda              0.00    3.00      0.00     40.00     0.00     7.00   0.00  70.00    0.00    0.67   0.00     0.00    13.33   1.00   0.30 
vdb              0.00   62.00      0.00    619.50     0.00     7.00   0.00  10.14    0.00    0.58   0.04     0.00     9.99   0.50   3.10 

目前似乎也看不到有什么IO壓力 。但是由于我手上沒(méi)有監(jiān)控權(quán)限，估計(jì)也是直接就沒(méi)有對(duì)pod做監(jiān)控。然后describe的時(shí)候看到問(wèn)題發(fā)生也是7個(gè)小時(shí)之前的事情了，所以的話這邊猜測(cè)可能是當(dāng)時(shí)已經(jīng)觸發(fā)了kubelet的eviction-hard，然后磁盤(pán)已經(jīng)有部分空間被回收了，而且壓力可能也已經(jīng)下去了。

查看node上的日志

查看節(jié)點(diǎn)上kubelet日志和message日志，并沒(méi)有任何Evicted的日志被發(fā)現(xiàn)。

$ tail -500 kubelet.log  | grep "Evicted" 
$ tail -500 /var/log/messages  | grep "Evicted" 

那當(dāng)前情況下就只能臨時(shí)先處理掉這個(gè)Evicted狀態(tài)的pod了

$ kubectl get po -n nsop  --field-selector 'status.phase!=Running' -o json| kubectl delete -f - 

因?yàn)槭谴疟P(pán)空間的問(wèn)題，所以想到去檢查一下是否有持續(xù)增長(zhǎng)的目錄。最后排查發(fā)現(xiàn)，所有出現(xiàn)Evicted狀態(tài)的pod所處的節(jié)點(diǎn)似乎都有一個(gè)共性：那就是都啟用了skywalking，并且以emptyDir的形式寫(xiě)日志到本地臨時(shí)存儲(chǔ)中。

目前公司將默認(rèn)的docker目錄和kubelet目錄都改到了/data目錄下，上pod所在的node，到/data/目錄下通過(guò)du -sh ./* | grep G命令去查看了一下有好多/data/kubernetes/kubelet/pods/xxx/volumes/kubernetes.io~empty-dir/vol-apm-empty/logs的目錄下存在skywalking-api.log的日志，而且都是輪轉(zhuǎn)的日志，默認(rèn)沒(méi)有設(shè)置日志保留時(shí)間。

skywalking-agent的配置文件中默認(rèn)開(kāi)啟了以下幾個(gè)參數(shù)：

$ egrep -v "^$|^#" agent.config 
agent.service_name=${SW_AGENT_NAME:Your_ApplicationName} 
collector.backend_service=${SW_AGENT_COLLECTOR_BACKEND_SERVICES:127.0.0.1:11800} 
logging.file_name=${SW_LOGGING_FILE_NAME:skywalking-api.log} 
logging.level=${SW_LOGGING_LEVEL:INFO} 
plugin.mount=${SW_MOUNT_FOLDERS:plugins,activations} 

skywalking-agent在emptyDir下的日志

[root@node2-pre-ayunw.cn vol-apm-empty]# cd logs/ 
[root@node2-pre-ayunw.cn logs]# ll 
total 4327672 
-rw-r--r-- 1 root root 260328481 Aug 31 09:43 skywalking-api.log 
-rw-r--r-- 1 root root 314573222 Aug 12 02:56 skywalking-api.log.2021_08_12_02_56_35 
-rw-r--r-- 1 root root 314573394 Aug 13 15:01 skywalking-api.log.2021_08_13_15_01_56 
-rw-r--r-- 1 root root 314574277 Aug 15 03:12 skywalking-api.log.2021_08_15_03_12_26 
-rw-r--r-- 1 root root 314574161 Aug 16 15:21 skywalking-api.log.2021_08_16_15_21_13 
-rw-r--r-- 1 root root 314574334 Aug 18 03:31 skywalking-api.log.2021_08_18_03_31_18 
-rw-r--r-- 1 root root 314572887 Aug 19 15:40 skywalking-api.log.2021_08_19_15_40_22 
-rw-r--r-- 1 root root 314574238 Aug 21 03:44 skywalking-api.log.2021_08_21_03_44_28 
-rw-r--r-- 1 root root 314574144 Aug 22 15:49 skywalking-api.log.2021_08_22_15_49_08 
-rw-r--r-- 1 root root 314573963 Aug 24 03:51 skywalking-api.log.2021_08_24_03_51_28 
-rw-r--r-- 1 root root 314572991 Aug 25 15:54 skywalking-api.log.2021_08_25_15_54_21 
-rw-r--r-- 1 root root 314573321 Aug 27 03:57 skywalking-api.log.2021_08_27_03_57_11 
-rw-r--r-- 1 root root 314572890 Aug 28 16:01 skywalking-api.log.2021_08_28_16_01_26 
-rw-r--r-- 1 root root 314573311 Aug 30 04:05 skywalking-api.log.2021_08_30_04_05_34 

我的docker根目錄被更改過(guò)，不是默認(rèn)的/var/lib/docker，而是/data/docker。我的k8s的kubelet目錄也是被更改過(guò)的，在/data/kubernetes/kubelet。

臨時(shí)解決日志爆滿的兩種方法

• 在K8s-master節(jié)點(diǎn)查看Evicted的pod調(diào)度在哪個(gè)節(jié)點(diǎn)，然后到/data/kubernetes/kubelet/pods目錄下去通過(guò)du -sh 命令找到目錄占用量大的pod，然后將截圖指出的輪轉(zhuǎn)后(就是帶上時(shí)間2021_08_17這一類(lèi))的日志文件刪除
• 直接重新刪除pod，其實(shí)只要是pod重啟后，EmptyDir目錄就會(huì)被刪除掉。

操作步驟

$ cd /data/kubernetes/kubelet/pods 
 
$ du -sh ./* | grep G 
1.3G ./02c9511d-0787-49f1-8c59-0db239baee79 
1.3G ./079f3ca0-810d-468d-9136-75f3d3235b2d 
4.8G ./07fc67f7-d46d-4d0c-8f6c-401e14705ae1 
3.0G ./091594a0-b5ac-45c2-8ad9-7dcfc91c9e55 
1.8G ./130a1b35-b447-43e1-8802-eb74aefa566c 
1.2G ./1b257c27-cbaf-49f8-bca3-ceadc467aad6 
2.8G ./2ec50216-f81e-4e83-922d-14316762dee2 
7.0G ./321baae6-1efe-4535-8a20-0fdfa6cc3117 
8.0G ./46680114-11f7-47af-9ee2-347f56592924 
... 

我這里找到了占用7.0G大小的pod，根據(jù)目錄名稱(chēng)找到pod名字，然后觸發(fā)了這個(gè)pod的cicd,也就相當(dāng)于更新了這個(gè)pod的deployment.yaml，然后apply -f重新生成了一遍這個(gè)pod

$ docker ps -a | grep "321baae6-1efe-4535-8a20-0fdfa6cc3117" 
a69b2635ba98        registry.ayunw.cn/tsp/msmessagecenter                     "/startApp.sh"           5 weeks ago          Up 5 weeks                                          k8s_msmessagecenter-perf-dev-v1-0-0_msmessagecenter-perf-dev-v1-0-0-7f746b84bf-wb4g5_tsp_321baae6-1efe-4535-8a20-0fdfa6cc3117_0 
c8f2cc0a2737        874552b27b34                                                        "sh -c 'set -ex;mkdi…"   5 weeks ago          Exited (0) 5 weeks ago                              k8s_init-skywalking-agent_msmessagecenter-perf-dev-v1-0-0-7f746b84bf-wb4g5_tsp_321baae6-1efe-4535-8a20-0fdfa6cc3117_0 
c415f52e7489        registry.ayunw.cn/library/k8s.gcr.io/pause:3.2            "/pause"                 5 weeks ago          Up 5 weeks                                          k8s_POD_msmessagecenter-perf-dev-v1-0-0-7f746b84bf-wb4g5_tsp_321baae6-1efe-4535-8a20-0fdfa6cc3117_0 

等pod被完全刪除后查看這個(gè)目錄已經(jīng)消失

$ du -sh ./* | grep G 
1.3G ./02c9511d-0787-49f1-8c59-0db239baee79 
1.3G ./079f3ca0-810d-468d-9136-75f3d3235b2d 
4.8G ./07fc67f7-d46d-4d0c-8f6c-401e14705ae1 
3.0G ./091594a0-b5ac-45c2-8ad9-7dcfc91c9e55 
1.8G ./130a1b35-b447-43e1-8802-eb74aefa566c 
1.2G ./1b257c27-cbaf-49f8-bca3-ceadc467aad6 
2.8G ./2ec50216-f81e-4e83-922d-14316762dee2 
8.0G ./46680114-11f7-47af-9ee2-347f56592924 
... 

永久解決日志保留個(gè)數(shù)方法

• 直接在Dockerfile打鏡像的時(shí)候更改參數(shù)或者提前寫(xiě)好配置文件然后構(gòu)建鏡像的時(shí)候COPY進(jìn)去

我這里直接改好agent.config參數(shù)然后Dockerfile中COPY進(jìn)去了

$ cat Dockerfile 
FROM registry.ayunw.cn/library/alpine:3.12.0 
ENV LANG=C.UTF-8 \ 
    SKYWLKING_AGENT_VERSION=8.6.0 
RUN set -eux && mkdir -p /opt/skywalking/agent \ 
    && apk add wget \ 
    && wget https://downloads.apache.org/skywalking/${SKYWLKING_AGENT_VERSION}/apache-skywalking-apm-es7-${SKYWLKING_AGENT_VERSION}.tar.gz -P /tmp/ \ 
    && cd /tmp && tar zxf apache-skywalking-apm-es7-${SKYWLKING_AGENT_VERSION}.tar.gz \ 
    && mv /tmp/apache-skywalking-apm-bin-es7/agent/* /opt/skywalking/agent \ 
    && rm -f /opt/skywalking/agent/optional-plugins/apm-spring-annotation-plugin-8.6.0.jar /opt/skywalking/agent/plugins/thrift-plugin-8.6.0.jar \ 
    && mv /opt/skywalking/agent/plugins/thrift-plugin-8.6.0.jar /tmp/thrift-plugin-8.6.0.jar \ 
    && cp -r /opt/skywalking/agent/optional-plugins/* /opt/skywalking/agent/plugins/ \ 
    && unset export \ 
    && rm -rf /tmp/* /opt/skywalking/agent/config/agent.config 
 
COPY agent.config /opt/skywalking/agent/config/ 
 
WORKDIR / 

$ egrep -v "^$|^#" agent.config 
agent.service_name=${SW_AGENT_NAME:Your_ApplicationName} 
collector.backend_service=${SW_AGENT_COLLECTOR_BACKEND_SERVICES:127.0.0.1:11800} 
logging.file_name=${SW_LOGGING_FILE_NAME:skywalking-api.log} 
logging.level=${SW_LOGGING_LEVEL:INFO} 
plugin.mount=${SW_MOUNT_FOLDERS:plugins,activations} 
# 以下參數(shù)是我更改后的，表示日志保留個(gè)數(shù)為3個(gè) 
logging.max_history_files=${SW_LOGGING_MAX_HISTORY_FILES:3} 

其實(shí)agent.config文件中是有l(wèi)ogging.max_history_files=${SW_LOGGING_MAX_HISTORY_FILES:-1}這一行的，但是默認(rèn)被注釋掉了。我這里將它打開(kāi)，然后將-1改成了3。這行配置是JAVA中的寫(xiě)法，意思是默認(rèn)是-1表示"最大歷史日志文件保留個(gè)數(shù)"，而-1則表示不設(shè)置最大歷史日志文件保留，也就是一直輪轉(zhuǎn)，不會(huì)做日志清理。參數(shù)意思可以參考skywalking官網(wǎng)。

然后重新構(gòu)建這個(gè)skywalking-agent鏡像，在deployment中引用即可。

$ cat deployment.yaml 
apiVersion: apps/v1 
kind: Deployment 
... 
      dnsPolicy: ClusterFirst 
      terminationGracePeriodSeconds: 10 
      serviceAccountName: default 
      imagePullSecrets: 
        - name: registry-auth-ayunw-cn 
      initContainers: 
        - name: init-skywalking-agent 
          image: "registry.ayunw.cn/library/skywalking-agent:33-ac402d20" 
          command: 
            - 'sh' 
            - '-c' 
            - 'set -ex;mkdir -p /skywalking/agent;cp -r /opt/skywalking/agent/* /skywalking/agent;' 
          volumeMounts: 
            - name: vol-apm-empty 
              mountPath: /skywalking/agent 
      containers: 
        - name: demo-hello-pre-master 
          image: "registry.ayunw.cn/paas/demo-hello:537-c87b6177" 
          ... 
          volumeMounts: 
            - name: vol-apm-empty 
              mountPath: /skywalking/agent 
      volumes: 
        - name: vol-apm-empty 
          emptyDir: {} 

其實(shí)這里的磁盤(pán)DiskPressure目前只能大概排查到skywalking導(dǎo)致，但沒(méi)有監(jiān)控的情況下并不能百分百確認(rèn)就是skywalking引起，因此如果需要更精準(zhǔn)的定位這個(gè)問(wèn)題，還需要通過(guò)監(jiān)控等手段去排查。如果各位有更好的解決Evicted狀態(tài)的pod這種問(wèn)題的方法，也歡迎后臺(tái)回復(fù)，一起交流。

本文轉(zhuǎn)載自微信公眾號(hào)「運(yùn)維開(kāi)發(fā)故事」

【編輯推薦】