问题现象:当pod长时间处于容器创建中时,describe查看pod event 时,最后有显示 no space left on device或no allocated memory,很可能就是出现节点内存溢出的问题。
确认问题:登录节点查看,执行如下两条命令检查
无异常
#cat /sys/fs/cgroup/memory/kubepods/memory.kmem.slabinfo
cat: /sys/fs/cgroup/memory/kubepods/memory.kmem.slabinfo: Input/output error
# cat /sys/fs/cgroup/memory/kubepods/burstable/memory.kmem.usage_in_bytes
cat: /sys/fs/cgroup/memory/kubepods/burstable/memory.kmem.usage_in_bytes: No such file or directory
有异常,内存溢出
#cat /sys/fs/cgroup/memory/kubepods/memory.kmem.slabinfo
slabinfo - version: 2.1
# name <active_objs> <num_objs> <objsize> <objperslab> <pagesperslab> : tunables <limit> <batchcount> <sharedfactor> : slabdata <active_slabs> <num_slabs> <sharedavail>
#
# cat /sys/fs/cgroup/memory/kubepods/burstable/memory.kmem.usage_in_bytes
1654354344
问题原因:先了解有这么一回事就行
cgroup 的 kmem account 特性在 3.x 内核上有内存泄露问题,如果开启了 kmem account 特性 会导致可分配内存越来越少,直到无法创建新 pod 或节点异常。
几点解释:
kmem account 是cgroup 的一个扩展,全称CONFIG_MEMCG_KMEM,属于机器默认配置,本身没啥问题,只是该特性在 3.10 的内核上存在漏洞有内存泄露问题,4.x的内核修复了这个问题。
因为 kmem account 是 cgroup 的扩展能力,因此runc、docker、k8s 层面也进行了该功能的支持,即默认都打开了kmem 属性
因为3.10 的内核已经明确提示 kmem 是实验性质,我们仍然使用该特性,所以这其实不算内核的问题,是 k8s 兼容问题。
原理解释:
kmem 是什么
kmem 是cgroup 的一个扩展,全称CONFIG_MEMCG_KMEM,属于机器默认配置。
内核内存与用户内存:
内核内存:专用于Linux内核系统服务使用,是不可swap的,因而这部分内存非常宝贵的。但现实中存在很多针对内核内存资源的攻击,如不断地fork新进程从而耗尽系统资源,即所谓的“fork bomb”。
为了防止这种攻击,社区中提议通过linux内核限制 cgroup中的kmem 容量,从而限制恶意进程的行为,即kernel memory accounting机制。
使用如下命令查看KMEM是否打开
[root@VM-16-10-centos ~]# cat /boot/config-`uname -r`|grep CONFIG_MEMCG
CONFIG_MEMCG=y
CONFIG_MEMCG_SWAP=y
CONFIG_MEMCG_SWAP_ENABLED=y
CONFIG_MEMCG_KMEM=y
解决方案:
采用编译kubelet ,和runc 替换原来的方式,重启节点恢复
我的集群版本时1.16.14,go版本至少为1.13.4
一、需要重新编译runc
1,配置go语言环境
wget https://dl.google.com/go/go1.13.4.linux-amd64.tar.gz
tar xf go1.13.4.linux-amd64.tar.gz -C /usr/local/
写入bashrc
vim ~/.bashrc
export GOPATH="/data/Documents"
export GOROOT="/usr/local/go"
export PATH="$GOROOT/bin:$GOPATH/bin:$PATH"
export GO111MODULE=off
验证
source ~/.bashrc
go version
2,下载runc源码
mkdir -p ~/runc/
cd ~/runc/
git clone https://github.com/opencontainers/runc
cd runc/
git checkout v1.0.0-rc9 # 表示切到v1.0.0-rc9 tag(游离)
3,编译runc
安装编译组件
sudo yum install libseccomp-devel
make BUILDTAGS='seccomp nokmem'
编译完成之后会在当前目录下看到一个runc的可执行文件,等kubelet编译完成之后会将其替换
二、编译kubelet
1,下载kubelet源码
mkdir -p /root/k8s/
cd /root/k8s/
git clone https://github.com/kubernetes/kubernetes
cd kubernetes/
git checkout v1.16.14
2,制作编译环境的镜像(Dockerfile如下)
FROM centos:centos7.3.1611
ENV GOROOT /usr/local/go
ENV GOPATH /usr/local/gopath
ENV PATH /usr/local/go/bin:$PATH
RUN yum install rpm-build which where rsync gcc gcc-c++ automake autoconf libtool make -y
RUN curl -L https://studygolang.com/dl/golang/go1.13.4.linux-amd64.tar.gz | tar zxvf - -C /usr/local
#执行镜像构建
docker build -t build-k8s:1.16.14 ./ -f ./Dockerfile
3,在制作好的go环境镜像中来进行编译kubelet(注意生成的kubelet 会在_output/bin/目录下,需要挪用到/root/k8s/kubernetes目录)
# 运行容器
docker run -it --rm -v /root/k8s/kubernetes:/usr/local/gopath/src/k8s.io/kubernetes build-k8s:1.16.14 bash
cd /usr/local/gopath/src/k8s.io/kubernetes
#编译
GO111MODULE=off KUBE_GIT_TREE_STATE=clean KUBE_GIT_VERSION=v1.16.14
make kubelet GOFLAGS="-tags=nokmem"
4,替换原有的runc和kubelet
cp /root/k8s/kubernetes/kubelet /usr/bin/kubelet
cp /root/k8s/kubernetes/kubelet /usr/local/bin/kubelet
cp /root/runc/runc/runc /usr/bin/docker-runc
三,检查kmem是否关闭前需要将此节点的Pod杀掉重启或者重启服务器,当结果为0时成功
cat /sys/fs/cgroup/memory/kubepods/burstable/memory.kmem.usage_in_bytes
其他方式:暂未尝试
修改虚机启动的引导项 grub 中的cgroup.memory=nokmem,让机器启动时直接禁用 cgroup的 kmem 属性
修改/etc/default/grub 为:
GRUB_CMDLINE_LINUX="crashkernel=auto net.ifnames=0 biosdevname=0 intel_pstate=disable cgroup.memory=nokmem"
生成配置:
/usr/sbin/grub2-mkconfig -o /boot/grub2/grub.cfg
重启机器:
reboot
验证:
cat /sys/fs/cgroup/memory/kubepods/burstable/pod*/*/memory.kmem.slabinfo 无输出即可。
这个方式对一些机器生效,但有些机器替换后没生效,且这个操作也需要机器重启,暂时不采纳
网友评论