共计 3669 个字符,预计需要花费 10 分钟才能阅读完成。
又一次偷偷化解了可能产生的重大事故。不想看过程的能够间接跳到开端看解决计划。
一个网络谬误
某天,上 kplcloud 构建一个测试利用,构建实现之后发现新 pod 始终启动失败,并且抛出了以下错误信息:
Failed create pod sandbox: rpc error: code = Unknown desc = NetworkPlugin cni failed to set up pod "xxxxxx-fc4cb949f-gpkm2_xxxxxxx" network: netplugin failed but error parsing its diagnostic message "": unexpected end of JSON input
会 k8s 的运维同学早已不在,忽然出问题了怎么办?
试着开始解决问题。
一、有没有可能是镜像拉取失败,开始找问题:
- 登录集群所有服务器查看空间是否占满(然而并没有占满)
- 查问集群所有服务器网络状况(也没有问题)
- 再启一个 pod 试试?(起不来)
这就难堪了 ……,有没有可能是 calico 的问题?
二、查看服务器报错信息
尝试以下命令看服务器的报错信息:
$ journalctl -exf 的确有一些错误信息:
这个谬误太宽泛了,持续尝试从其余中央找找问题。
此时曾经开始在思考如何跑路的问题了 …
要不尝试从重启是否解决?
危险太大,不能冒险。尽管很多时候重启能解决大部分问题,但重启 docker、k8s 在这种状况下不是最佳抉择。
持续搜刮日志,猜想是无奈调配 IP 的问题,那指标转向 calico
从 calico-node 下面找问题
查问 ip 池是否用完。
应用 calicoamd 命令查问 calico 是否失常失常运行
$ calicoctl get ippools -o wide
CIDR NAT IPIP
172.20.0.0/16 true false
$ calicoctl node status
仿佛是没啥问题。
开始场外求助 ……
无果
既然 calico-node 都运行失常,应该不会是 calico-etcd 的问题吧。
试试 calico-etcd
本着有疑难就查证试试的态度,上面开始对 calico-etcd 进行一顿骚操作。
为了缩小代码量不便浏览,以下 etcdctl 所须要加的证书及 endpoints,就不一一增加了,大家参考一下就好:
ETCDCTL_API=3 etcdctl --cacert=/etc/etcd/ssl/ca.pem \
--cert=/etc/etcd/ssl/etcd.pem \
--key=/etc/etcd/ssl/etcd-key.pem \
--endpoints=http://10.xx.xx.1:2379,http://10.xx.xx.2:2379,http://10.xx.xx.3:2379calico 并没有问题,试试 calico 所应用的 ETCD 是否失常,进入 calico-etcd 集群:
$ ETCDCTL_API=3 etcdctl member list
bde98346d77cfa1: name=node-1 peerURLs=http://10.xx.xx.1:2380 clientURLs=http://10.xx.xx.1:2379 isLeader=true
299fcfbf514069ed: name=node-2 peerURLs=http://10.xx.xx.2:2380 clientURLs=http://10.xx.xx.2:2379 isLeader=false
954e5cdb2d25c491: name=node-3 peerURLs=http://10.xx.xx.3:2380 clientURLs=http://10.xx.xx.3:2379 isLeader=false仿佛集群也运行失常,get 数据也失常。
所有看起来都感觉是如许的失常,仿佛没有什么故障。
算了,算了,还是先写会简历吧,换换脑子。
那尝试向 ETCD 写入一条数据试试?
$ ETCDCTL_API=3 etcdctl put /hello world
Error: etcdserver: mvcc: database space exceeded报了一个错Error: etcdserver: mvcc: database space exceeded???
仿佛是找到起因了,既然定位到问题所在,那接下来就好办了。(不必跑路了 (⁎⁍̴̛ᴗ⁍̴̛⁎)) 把简历先放一放。
感激平凡的 google,我从 etcd 官网找到了一些线索及解决方案,前面我贴上官网介绍,先解决问题:
应用 etcdctl endpoint status 查问 etcd 各个节点的应用状态:
$ ETCDCTL_API=3 etcdctl endpoint status
http://10.xx.xx.1:2379, 299fcfbf514069ed, 3.2.18, 2.1 GB, false, 7, 8701663
http://10.xx.xx.2:2379, bde98346d77cfa1, 3.2.18, 2.1 GB, true, 7, 8701683
http://10.xx.xx.3:2379, 954e5cdb2d25c491, 3.2.18, 2.1 GB, false, 7, 8701687下面能够看到集群空间曾经应用了 2.1GB 了,这个值须要注意一下。
查问 etcd 是否有告警信息应用命令etcdctl alarm list:
$ ETCDCTL_API=3 etcdctl alarm list
memberID:2999344297460918765 alarm:NOSPACE显示了一个alerm:NOSPACE,这个示意没空间了,那是没什么空间呢?磁盘还是内存?先查问一下。
仿佛磁盘、内存空间都足够的。从官网的信息理解到应该是 etcd 配额的问题,Etcd v3 的默认的 backend quota 2GB,也就是说 etcd 默认最大的配额是 2GB,如果超过了则无奈再写入数据,要么把旧数据删除,要么把数据压缩了。
参考官网的解决方案
ETCD 官网参考:https://etcd.io/docs/v3.2.17/op-guide/maintenance/
-
获取 etcd 的旧版本号
$ ETCDCTL_API=3 etcdctl endpoint status --write-out="json" | egrep -o '"revision":[0-9]*'| egrep -o'[0-9].*' 5395771 5395771 5395771 -
压缩旧版本
$ ETCDCTL_API=3 etcdctl compact 5395771 compacted revision 5395771 -
整顿碎片
$ ETCDCTL_API=3 etcdctl defrag Finished defragmenting etcd member[http://10.xx.xx.1:2379] Finished defragmenting etcd member[http://10.xx.xx.2:2379] Finished defragmenting etcd member[http://10.xx.xx.3:2379] -
敞开告警
$ ETCDCTL_API=3 etcdctl alarm disarm memberID:2999344297460918765 alarm:NOSPACE $ ETCDCTL_API=3 etcdctl alarm list -
测试数据是否可写入
$ ETCDCTL_API=3 etcdctl put /hello world OK $ ETCDCTL_API=3 etcdctl get /hello OK
回到 k8s 这边,删除那个失败的 pod,并查看是否可失常调配 ip。
所有正确,完满。
为了防止后续再呈现相似问题,须要设置主动压缩,启动主动压缩性能须要在 etcd 启动参考上加上xxxxx=1
https://skyao.gitbooks.io/lea…
etcd 默认不会主动 compact,须要设置启动参数,或者通过命令进行 compact,如果变更频繁倡议设置,否则会导致空间和内存的节约以及谬误。Etcd v3 的默认的 backend quota 2GB,如果不 compact,boltdb 文件大小超过这个限度后,就会报错:
”Error: etcdserver: mvcc: database space exceeded”,导致数据无奈写入。
产生这么多垃圾数据的起因就是因为频繁的调度,咱们集群有大量 CronJob 在执行,并且执行的十分沉闷,每次产生新的 Pod 都会被调配到 ip。有可能是因为 pod 工夫太短或没有及时登记而导致 calico-etcd 产生了大量垃圾数据。
尾巴
因 calico-etcd 集群的的应用配额满了,在创立 pod 时 calico 所调配的 IP 无奈写入到 etcd 里,从而导致 pod 创立失败也就无奈注册到 CoreDNS 了。
为了不采坑,监控是十分重要的,咱们有 etcd 集群的监控,却疏忽了 etcd 配额的监控,侥幸的是过后并没有利用重启动或降级,没有造成损失。
最初的倡议就是,没事下来点点,说不定会有您意想不到的惊喜(惊吓)。
作者:宜信技术学院 王聪
