k8s服务流量全部打到了一个容器上的问题排查

最新推荐文章于 2024-05-31 10:46:10 发布
最新推荐文章于 2024-05-31 10:46:10 发布
阅读量913 收藏
点赞数 1
分类专栏: 系统架构 文章标签: java kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cumtmonster/article/details/125479121
版权

访问k8s服务流量全部打到了一个容器上面

问题详细描述

最近在生产上碰到一个比较诡异的问题,有k8s中的两个服务A和B,B是一个新服务,只有A会调用且是单线程循环调用,且B都有两个副本。上线后发现A调用B的请求都打在了B的同一个容器上,另一个没有任何流量。
这里还要补充说明下A中是用SpringBoot RestTemplate发起的http请求B
原因从两方面去看
1 调用姿势不对,导致连接建立之后就一直没断开
2 负载均衡算法的问题
ps:问题还没有定位到,有空继续跟进~~
笔者目测第二点的概率较小,所以先从1着手去分析

一 RestTemplate背景知识

RestTemplate中有个关键的接口ClientHttpRequestFactory,它是个函数式接口,用于根据URI和HttpMethod创建出一个ClientHttpRequest来发送请求

public interface ClientHttpRequestFactory {	
	// 返回一个ClientHttpRequest,这样调用其execute()方法就可以发送rest请求了~
	ClientHttpRequest createRequest(URI uri, HttpMethod httpMethod) throws IOException;
}

Netty、HttpComponents、OkHttp3,HttpUrlConnection对它都有实现~
在A服务中用的是一种比较简单使用方式

@Bean
    public RestTemplate restTemplate1()
    {
        SimpleClientHttpRequestFactory requestFactory = new SimpleClientHttpRequestFactory();
        requestFactory.setConnectTimeout(500);
        requestFactory.setReadTimeout(500);
        RestTemplate restTemplate = new RestTemplate(requestFactory);
        return restTemplate;
    }

SimpleClientHttpRequestFactory内部并没有使用连接池
这里跟踪一下A单线程循环调用B的源码,调用链大概是这个样子的:
postForEntity() -> execute() -> doExecute() -> createRequest()
createRequest这里会走到上面提到的SimpleClientHttpRequestFactory里面。
之后调用openConnection() -> URL. openConnnection()
执行上面的逻辑之后我们有了一个封装好的SimpleBufferingClientHttpRequest对象,里面包含我们生成好的Connnection对象(连接的服务地址,端口号,超时时间等等)
再往后就会执行到比较核心的地方request.excute

protected <T> T doExecute(URI url, @Nullable HttpMethod method, @Nullable RequestCallback requestCallback,
			@Nullable ResponseExtractor<T> responseExtractor) throws RestClientException {

		Assert.notNull(url, "URI is required");
		Assert.notNull(method, "HttpMethod is required");
		ClientHttpResponse response = null;
		try {
			ClientHttpRequest request = createRequest(url, method);
			if (requestCallback != null) {
				requestCallback.doWithRequest(request);
			}
			//这里是核心的代码!!!
			response = request.execute();
			handleResponse(url, method, response);
			return (responseExtractor != null ? responseExtractor.extractData(response) : null);
		}
		catch (IOException ex) {
			String resource = url.toString();
			String query = url.getRawQuery();
			resource = (query != null ? resource.substring(0, resource.indexOf('?')) : resource);
			throw new ResourceAccessException("I/O error on " + method.name() +
					" request for \"" + resource + "\": " + ex.getMessage(), ex);
		}
		finally {
			if (response != null) {
				response.close();
			}
		}
	}

excute() -> executeInternal() -> HttpsURLConnectionImpl.connect()
执行到这里的时候我们就能看到DelegateHttpsURLConnection对象对应的httpsClient属性里面已经能够看到建立tcp请求对应的socket四元组了。
在这里插入图片描述
当我执行下次循环的时候,发现依然会创建新的tcp链接,明显看到四元组中对应的localPort已经发生变化了加粗样式
这就推翻了我们之前的猜想,连接没有保持不变,每次请求都会创建新的连接。当然这种方式比较低效,每次都进行tcp握手会比较耗费时间,使用连接池是更优雅的方式。
接下来我们验证第二种猜想,是否跟负载均衡策略有关

二 k8s基础知识

在排查这个问题之前,我们需要先具备一些关于K8s的基础知识,这里我大概列举一下

1 容器和pod

pod是k8s的最小单元,是一个Kubernetes抽象,表示一组一个或多个应用程序容器(如Docker或rkt),以及这些容器的一些共享资源。共享存储,网络等,k8s主要是为了扩展,他支持多种容器,甚至是用户自定义的容器
node

2 Service, kube-proxy

kube-proxy是Kubernetes的核心组件,部署在每个Node节点上
kube-proxy的作用主要是负责service的实现,四层负载,属于client-proxy(与之对应的是service-proxy),为service提供服务发现和负载均衡的能力。

service是一组pod的服务抽象,相当于一组pod,负责将请求分发给对应的pod。对外为这组pod统一提供一个IP,一般称为cluster IP(也称Virtual IP)。
service通过配置文件中的selector绑定到对应的pod

Endpoints创建service的时候,通过设置selector关联pod,就会创建一个与service同名的endpoints。记录service对应的所有pod的访问地址

注意 service只是抽象定义,kube-proxy才是干活的

3 kube-proxy的代理模式

简单列举下

userspace模式

因为请求从用户空间进入内核iptables,然后再回到用户空间,效率低。
kube-proxy要持续通过api-server(k8s的数据总线,各种api)监听Service和Endpoint的变化。

iptables

与 userspace 相同,kube-proxy 持续监听 Service 以及 Endpoints 对象的变化;但它并不在本地节点开启反向代理服务,而是把反向代理全部交给 iptables 来实现;即 iptables 直接将对 VIP 的请求转发给后端 Pod,通过 iptables 设置转发策略.
性能有所提升,但是如果Node上的service比较庞大, iptables rules将会非常,性能也会降低。

目前大部分企业用k8s上生产时,都不会直接用kube-proxy作为服务代理,而是通过自己开发或者通过IngressController来集成HAProxy, Nginx来代替kube-proxy。

ipvs

IPVS基于netfilter的散列表,相对于同样基于netfilter框架的iptables有更好的性能表现和扩展性。iptable主攻防火墙,ipvs主攻内核态4层负载均衡
贴一篇大牛的博客:https://www.zsythink.net/archives/1199

排查问题的过程中在github找到了一个关于ipvs load balance bug的issue
https://github.com/kubernetes/kubernetes/issues/79213
里面提到了lc(Least Connections)算法的bug,因为我们每次调用服务B都是建立连接后其中一个连接数变成1,调用完成之后释放连接,然后B服务的两个容器链接数归0。又会按照pod list选择连接数最少的,这个时候拿到的是同一个连接。

The lc scheduler iterates over the destination list and keeps the first one with the lowest number of connections.
My understanding is that destinations are added to the list every time an endpoint is added so all nodes could easily end up with the same list in the same order and make the same decision

我们生产环境用的就是ipvs,但是询问运维的得知负载均衡算法用的是rr(Round Robin)跟github上的描述不符空!!空欢喜一场
问题后续有空再看,此贴先做记录,也希望有经验的大佬指点一下思路

参考

  • 1: https://www.cnblogs.com/fuyuteng/p/11598768.html
cumtmonster
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
抓包排查解决k8s集群某节点容器无法访问servername的问题
qq_45492289的博客
07-07 1032
抓包排查解决k8s集群某节点容器无法访问servername的问题
DOCKER 学习笔记9 Kubernetes (K8s) 生产级容器编排 上
01-07
我们已经可以过最基本的 Docker Swarm 创建集群,然后在集群里面加入我们需要运行的任务 以及任务的数量 这样我们就创建了一个服务。 当然,这样的方式在我们本地虚拟机的情况下,完全适用,并且对于 容器 虚拟...
K8S从懵圈到熟练–集群服务的三个要点和一种实现
02-24
以我的经验来讲,理解K8S集群服务的概念,是比较不容易的一件事情。尤其是当我们基于似是而非的理解,去排查服务相关问题的时候,会非常不顺利。这体现在,对于新手来说,ping不服务的IP地址这样基础的问题,都很难理解;而就算对经验很丰富的工程师来说,看懂服务相关的iptables配置,也是相当的挑战。概念上来讲,K8S集群的服务,其实就是负载均衡、或反向代理。这跟阿里云的负载均衡产品,有很多类似的地方。和负载均衡一样,服务有它的IP地址以及前端端口;服务后边会挂载多个容器Pod作为其“后端服务器”,这些“后端服务器”有自己的IP以及监听端口。当这样的负载均衡和后端的架构,与K8S集群结合的时候
手把手打镜像并运行到k8s容器上(亲测可用)
06-03
手把手打镜像并运行到k8s容器上(亲测可用) 博客地址:https://blog.csdn.net/qq_36963950/article/details/125036352 第一个示例:wordpress博客系统 第二个示例:自己写一个springboot项目生成镜像部署到K8S集群中 第三个示例:部署Nacos项目 1. 传统方式启动两个服务(user和order) 2. 两个服务(user和order)都是K8s中的Pod 3. user传统和order迁移K8s
k8s kube-proxy详解
魏志标的博客
06-13 5270
kube-proxykubernetes中网络核心组件,实现了服务暴露和转发等网络功能。kube-proxy支持userspace,ipvs和iptables三种代理模式。userspace性能问题较严重,基本不再使用,应用最多的是iptables和ipvs模式。kube-proxy 以daemonset的方式运行在每个Node计算节点上,负责Pod网络代理, 它会定时过apiserver从etcd服务获取到service和endpoint资源的变化,维护网络规则和四层负载均衡工作。
K8s进阶之网络:pod内不同容器、同节点不同pod信、CNI插件、不同节点pod信、Flannel容器网络、Serivce连接外部网络、服务发现、Nginx反向代理与域名、Ingress代理
Pistachiout的学习博客
09-21 3307
CNI如Calico、flannel等本身并不能提供网络服务,它只是定义了对容器网络进行操作和配置的规范。CNI仅关注在创建容器时分配网络资源,和在销毁容器时删除网络资源。常见的CNI插件包括Calico、flannel等。具体的流程如下图所示:在集群里面创建一个 Pod 的时候,首先会过 apiserver 将 Pod 的配置写入。apiserver 的一些管控组件(比如 Scheduler)会调度到某个具体的节点上去。
揭秘大流量场景下发布如丝般顺滑背后的原因
阿里巴巴中间件
12-21 217
为什么很多互联网公司不敢在白天发布,都选择在半夜发布。要是能摆脱半夜发布的窘境,它不香吗?选择在半夜发布无非是为了减少对用户的影响,出了问题影响面可控。那我们就来谈谈,发布会有哪些问题。...
Docker(二十六)k8s流量容器,的应用方法(利用亲和性和反亲和性,做pod 定点)...
weixin_33991418的博客
08-09 536
k8s 在有些应用场景下需要把某些应用容器,固定在相应的节点上,比如主流量入口,会有大量的流量进来,那么如果固定在node 节点上,那么根据k8s 调度pod 规则,会把这个大流量pod 漂移到其他node节点上,但是问题很容易,影响这个node节点上的其他pod 容器的网络信,比如,我司,有个服务主入口,那么这个容器只能固定在4个,4核16g 的高性能node 节点上,...
k8s集群service流量服务代理5大严肃思考?
囧么肥事
04-24 567
面试官:"思考下,iptables 模式下如何尽可能的避免将流量发送到失败的Pod呢?" 面试官:"如何确保每次都将来自特定客户端的连接传递到同一Pod呢?" 面试官:"k8s集群service服务代理IPVS的兜底策略是什么?"
一个linux脚本,查看k8s占用的所有端口号,包含服务内部的
weixin_35756624的博客
01-01 396
在 Linux 中,可以使用 ss 命令查看占用的所有端口号。要查看 k8s 占用的所有端口,可以使用以下脚本: #!/bin/bash # 查看所有的 k8s 端口 ss -lptn 'sport = :6443 or sport = :2379 or sport = :2380 or sport = :10250 or sport = :10251 or sport = :10252' 上...
性能学习笔记--k8s下mysql的连接数分析和调优
qq_37405087的博客
07-05 1415
k8s的架构下,登录并发100后,发现cpu的利用率过高,超过75%;开始不知道是哪个微服务导致的cpu利用率过高,需要进行分析(最终分析是mysql连接数不够),调优,再执行并发操作*
K8S容器云平台查询容器TOP真实使用情况工具之Topic
09-26
K8S容器云平台查询容器TOP真实使用情况工具之Topic,方面容器docker内部查询自己的top
Kubernetes 网络排查方法
u013916029的博客
11-19 1158
k8s
k8s 起多个pod时,如何只运行一份定时任务?
anthea_luo的博客
09-06 4342
使用flask框架的定时任务,在运行多个pod时,如何保证只运行一个定时任务? 看到有用redis加锁的, 不过这个只能保证同一时刻只有一个定时任务运行。假如一个interval为120s的定时任务,执行只需要5s,则起几个pod 120s内最多就可能运行几次,虽然重复运行可能也没问题,但这并不是我们想要的。 最近使用了一个优雅点的解决方案,增加一个deployment专门运行定时任务,只起一个;其内有一个环境变量指示 此pod为定时任务的pod; 其他的pod剥离定时任务,可以起多个。 具体的: 1.
JAVAEE之多线程进阶(2)_ CAS概念、实现原理、ABA问题及解决方案
2301_80653026的博客
05-29 1364
CAS全称Compare and swap,字面意思:”比较并交换“,它是一条 CPU 并发原语,用于判断内存中某个值是否为预期值,如果是则更改为新的值,这个过程是原子的。全称 Compare and swap, 即 “比较并交换”. 相当于一个原子的操作, 同时完成 “读取内存, 比较是否相等, 修改内存” 这三个步骤. 本质上需要 CPU 指令的支撑。
operator <=> (spaceship operator)
janeqi1987的专栏
05-28 876
= 与!= 操作符为了检查是否相等,现在定义== 操作符就够了。当编译器找不到表达式的匹配声明a!=b 时,编译器会重写表达式并查找!(a==b)。若这不起作用,编译器也会尝试改变操作数的顺序,所以也会尝试!(b==a):a!=b,!(b==a)因此,对于TypeA 的a 和TypeB 的b,编译器将能够识别并编译a!= b若需要的话,可以这样做• 一个独立函数operator!• 一个独立函数operator==(TypeA, TypeB)
Spring6基础笔记
质胜文则野,文胜质则史。文质彬彬,然后君子。
05-21 1194
Spring 是一款主流的 Java EE 轻量级开源框架 ,Spring 由“Spring 之父”Rod Johnson 提出并创立,其目的是用于简化 Java 企业级应用的开发难度和开发周期。Spring的用途不仅限于服务器端的开发。从简单性、可测试性和松耦合的角度而言,任何Java应用都可以从Spring中受益。Spring 框架除了自己提供功能外,还提供整合其他技术和框架的能力。Spring 自诞生以来备受青睐,一直被广大开发人员作为 Java 企业级应用程序开发的首选。时至今日,Spring 俨然
Java 异常处理中try-catch块、finally子句以及自定义异常的使用
最新发布
Itmastergo的博客
05-31 486
异常是程序运行过程中出现的非正常情况。Java 使用异常类(Exception 类及其子类)来表示这些异常情况。异常处理的核心思想是将正常的程序流程与异常处理流程分离开来,使代码更加清晰和可维护。Throwable 类:所有异常和错误的基类。Error 类:表示系统级的错误,程序常无法处理,比如内存不足(OutOfMemoryError)。Exception 类:表示程序中可以处理的异常情况。RuntimeException 类。
java多线程创建方式
weixin_57763462的博客
05-28 1040
这种方式是过创建一个实现了Runnable接口的类,并实现run()方法来创建线程。然后将这个类的对象作为参数传递给Thread类的构造器,并调用Thread对象的start()方法来启动线程。这种方式是过创建一个实现了Callable接口的类,实现call()方法,并使用FutureTask或者ExecutorService来创建线程。这种方式的优点在于,由于Java不支持多重继承,如果你的类需要继承其他类,那么实现Runnable接口将是唯一的选择。// 在这里定义线程的执行逻辑。
k8s打镜像运行到k8s容器
01-05
Kubernetes(简称K8s)是一个开源的容器编排平台,用于管理容器化应用程序的部署、扩展和自动化操作。在Kubernetes中,我们可以过将容器镜像部署到Kubernetes集群中的容器中来运行应用程序。 首先,我们需要创建一个Docker镜像,该镜像包含了我们想要运行的应用程序及其依赖项。Docker镜像可以使用Dockerfile来定义,其中包含了构建这个镜像所需的步骤和命令。常见的构建步骤包括下载所需的软件包、设置环境变量、复制应用程序代码等。过运行`docker build`命令,我们可以构建出一个可用的Docker镜像。 接下来,我们需要将这个Docker镜像上传到一个镜像仓库中,这样Kubernetes集群就可以拿到这个镜像并运行。常见的镜像仓库有Docker Hub、Google Container Registry等。我们可以使用`docker push`命令将镜像推送到镜像仓库中,并确保设置了适当的访问控制。 然后,在Kubernetes集群中创建一个容器部署。容器部署是一个Kubernetes管理的逻辑单元,用于定义如何在集群中运行一个或多个同样的容器实例。我们可以使用Kubernetes配置文件(常是YAML格式)来定义容器部署。在配置文件中,我们需要指定容器部署所使用的镜像、容器的资源要求和限制、容器之间的网络和存储配置等信息。 最后,我们可以使用Kubernetes命令行工具(如kubectl)来创建和管理容器部署。过运行`kubectl apply -f`命令,我们可以将容器部署配置文件应用到Kubernetes集群中。Kubernetes会根据配置文件中的定义,自动创建容器实例,并在集群的节点上运行这些容器。 总体而言,将Docker镜像运行到Kubernetes容器中需要完成以下步骤:构建Docker镜像、上传到镜像仓库、创建容器部署配置文件、应用配置到Kubernetes集群。过这些步骤,我们可以在Kubernetes集群中轻松地部署和管理容器化应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值