错误现象

a. 终端重复报警消息: NMI watchdog: BUG: soft lockup - CPU#xx stuck for 22s!

b. dmesg提示kernel: SLUB: Unable to allocate memory on node -1

c. crash log显示:

SLUB: Unable to allocate memory on node -1 (gfp=0xd0)

  cache: sock_inode_cache(158:8aff71103b350fcc15a20dcad154986160ce07496a9f70fa4aff83e7716b0936), object size: 632, buffer size: 640, default order: 3, min order: 0

  node 0: slabs: 8, objs: 363, free: 0

  node 1: slabs: 17, objs: 867, free: 0

socket: no more sockets

IPv6: Failed to initialize the ICMP6 control socket (err -23)

BUG: unable to handle kernel NULL pointer dereference at 0000000000000020

IP: [<ffffffff894dfb20>] ip6mr_sk_done+0x60/0xf0

.......

[<ffffffff894c984d>] rawv6_close+0x1d/0x40

[<ffffffff8946cf5d>] inet_release+0x7d/0x90

[<ffffffff894a67d0>] inet6_release+0x30/0x40

[<ffffffff893cba35>] sock_release+0x25/0x90

[<ffffffff893d302c>] sk_release_kernel+0x2c/0x60

[<ffffffff894cbbf5>] icmpv6_sk_init+0x125/0x140

[<ffffffff893e0794>] ops_init+0x44/0x150

[<ffffffff893e0943>] setup_net+0xa3/0x160

[<ffffffff893e10e5>] copy_net_ns+0xb5/0x180

[<ffffffff88ebfe89>] create_new_namespaces+0xf9/0x180

[<ffffffff88ec00ca>] unshare_nsproxy_namespaces+0x5a/0xc0

[<ffffffff88e90c13>] SyS_unshare+0x193/0x300

[<ffffffff8951f7d5>] system_call_fastpath+0x1c/0x21

操作系统版本是CentOS Linux release 7.5.1804， 内核为3.10.0-862.el7.x86_64，k8s版本是v1.12.3，Docker版本Docker version 18.06.1-ce。

问题分析及解决方案

首先我们看到内核提示的错误信息与内存分配有关，我们首先考虑这可能是一个内存泄露问题。同时，当终端不断弹出sock lockup错误信息时，手动stop docker service之后消息立马不再弹出，因而我们也怀疑这是docker造成的问题。

问题先从Linux的内存管理机制说起。在Linux中，内存分为内核内存及用户内存，内核内存设计为专用于Linux内核中系统服务使用，是不可swap的，因而内核内存资源对Linux系统来说是非常宝贵的。然而，正因为这种设计，现实中也存在很多针对内核内存资源的攻击，例如恶意进程可以通过不断地fork新进程从而耗尽系统资源，从而造成系统异常或崩溃，这就是所谓的“fork bomb”。

为了防止出现“fork bomb”，社区中就有提议通过linux内核限制cgroup中的kmem容量使用从而限制恶意进程的行为，即kernel memory accounting机制。当我们通过memory cgroup限制应用的内存使用时，我们不但需要限制应用对用户内存的使用，也需要限制应用对内核内存的使用。kernel memory accounting机制为cgroup的内存限制增加了stack pages（例如新进程创建）、slab pages(SLAB/SLUB分配器使用的内存)、sockets memory pressure、tcp memory pressure等，内核文档中有详细的描述。kernel memory accounting机制为cgroup提供了memory.kmem.usage_in_bytes配置项用于限制内核内存的使用，这个配置项与memory.limit_in_bytes（总内存限额）配合使用存在下面三种情形，在lwn文章中有详细的介绍：

    a. memory.kmem.limit_in_bytes == unlimited：这种情形不限制内核内存的使用。

    b. memory.kmem.limit_in_bytes < memory.limit_in_bytes：在这种情形下，我们详细的指定了内核内存的上限是多少。

    c. memory.kmem.limit_in_bytes >= memory.limit_in_bytes：在这种情形下，我们只关心包括内核内存及用户内存在内的内存的总使用情况，并不关心内核内存实际使用了多少。在实际使用中，通常是这种情形，我们将memory.kmem.limit_in_bytes设置成大于memory.limit_in_bytes，从而只限制应用的总内存使用。

k8s从1.9版本开始runc默认Enable了kernel memory accounting，即当容器应用设置了memory limit时，容器的memory cgroup中将为memory.kmem.limit_in_bytes设置整形最大值，从而使能内核内存限制机制。我们通过查看memory.kmem.slabinfo的信息即可判断在当前cgroup中kernel memory accounting是否使能，如果未使能，访问这个文件将报输入输出错误。

然而，在4.0以下版本的Linux内核对kernel memory accounting的支持并不完善，社区中逐渐爆出了slab leak causing a crash when using kmem control group问题，同时runc社区以及Kubernetes社区中也出现了同样的问题，Enabling kmem accounting can break applications on CentOS7、application crash due to k8s 1.9.x open the kernel memory accounting by default。对于这个问题，在内核低于4版本的系统中给docker容器设置kernel-memory限制时将docker将给出以下提示：

You specified a kernel memory limit on a kernel older than 4.0. Kernel memory limits are experimental on older kernels, it won't work as expected and can cause your system to be unstable.

这个问题也是我们这次遇到问题的根本原因。kmem的泄露导致系统中的服务内存申请失败，从而造成了内核的soft lock。这个问题的解决方法在Kernel kmem leak caused by newer versions of Docker这篇文章中有很详细的介绍。我们解决的方案是将docker版本升级，版本特性包括Disable kmem accounting in runc on RHEL/CentOS (docker/escalation#614, docker/escalation#692) docker/engine#121。

更多我的文章可以查看我的github博客

添加好友我们可以聊更多相关话题二维码