【k8s pod container内存指标说明】

K8s环境下内存指标分析:container_memory_working_set_bytes与container_memory_rss
原创 已于 2023-08-02 14:41:33 修改 · 1w 阅读 · 31 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生

于 2023-05-12 15:48:42 首次发布

一、问题描述

我司平台研发的devops平台底层采用k8s实现,k8s自带cadvisor进行集群指标收集,根据官网,我们选用了container_memory_working_set_bytes(容器的工作集使用量)作为内存使用量的观察项,但随着后续使用过程中发现该指标上升到一定大小后就会维持不变,并不像应用实际内存使用量,没出现波动;

来自kubernetes对该问题的讨论(讨论了5年多了):https://github.com/kubernetes/kubernetes/issues/43916

二、原因分析

⚠️以下是建立在关闭swap交换分区的前提下分析

经过一系列分析发现使用container_memory_working_set_bytes不合理,应该使用container_memory_rss来表示应用实际内存使用量;

我最开始受cadvisor git问题栏中描述的影响,里面描述说:k8s kill pod时是根据该指标使用情况来判断的,所以下意识认为该指标表示pod实际内存使用量;官网说的没有问题,container_memory_working_set_bytes指标就是k8s来控制pod是否被kill的依据参考,但不代表container_memory_working_set_bytes接近pod limit后就一定会被kill,这里涉及到下面要详细分析的pod内存分布情况;

  1. 获取pod内存记录信息
    在cadvisor中,采集应用内存信息具体实现实际是获取docker cgroup中memory.stat中的内容,下面是通过cat /sys/fs/cgroup/memory/memory.stat获取到的pod内存数据:

                

                
                
        

    

    
  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    

      

        

            

              
                
                  qq_34468174
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
如何评估服务是否内存泄漏了?

				
			

			

				

					BUG_zhentan的博客
				

				

					05-23
					
					2410
					
				

			

		

		

			
				
0. 问题

最近业务方发布了 user-authentication 服务,但是不到一天就被 OOM killer 杀死了,从监控上看发布后内存占用在持续增加。



​哪里吃内存了?

首先看 GC 日志,Java Heap 和 Metaspace 很正常,所以怀疑是堆外内存泄漏了,而这个版本加了一个 sec-crypto JNI库,自然成了重点怀疑对象,通过看代码也很快定位到了没有ReleaseStringUTFChars的问题,所以很快做了修复发版。


如果没有明显的怀疑对象,如何排查堆外内存泄漏

			
		

	



                

            
              



	

		

			

				
					
容器内存指标

				
			

			

				

					qq_19550657的博客
				

				

					10-19
					
					1119
					
				

			

		

		

			
				
memsw_limit=$(cat /sys/fs/cgroup/memory/memory.memsw.limit_in_bytes)   --交换区限制值。kmem_usage=$(cat /sys/fs/cgroup/memory/memory.kmem.usage_in_bytes)   ---内核使用内存。usage=$(cat /sys/fs/cgroup/memory/memory.usage_in_bytes)   ---APP总使用内存

			
		

	



              


  
              

                


	

		

			

				
					
关于kubernetes中监控pod内存的问题

					
热门推荐

				
			

			

				

					kismile
				

				

					05-20
					
					1万+
					
				

			

		

		

			
				
cadvisor关于内存指标

container_memory_rss
RSS内存,即常驻内存集(Resident Set Size),是分配给进程使用实际物理内存,而不是磁盘上缓存的虚拟内存RSS内存包括所有分配的栈内存和堆内存,以及加载到物理内存中的共享库占用的内存空间,但不包括进入交换分区的内存container_memory_usage_bytes
当前使用的内存量,包括所有使用...

			
		

	





	

		

			

				
					
k8s pod container内存指标说明

				
			

			

				

					yifeiliu338的博客
				

				

					09-18
					
					2154
					
				

			

		

		

			
				
即:container_memory_working_set_bytes = total_active_file+ total_rss,其中total_rss为应用真实使用内存量,正常情况下该指标数值稳定,那为何该指标会持续上升而且一直维持很高呢?上面获取内存记录,主要关心total_cache、total_rss、total_inactive_anon、total_active_anon、total_inactive_file、total_active_file。

			
		

	



		

			
		



	

		

			

				
					
容器内存使用率(container_memory_working_set_bytes)高问题排查

				
			

			

				

					回归心灵的专栏
				

				

					05-07
					
					7702
					
				

			

		

		

			
				
容器内存使用率升高问题排查

			
		

	





	

		

			

				
					
k8s容器内存与JVM内存

				
			

			

				

					fourierr的博客
				

				

					09-07
					
					9323
					
				

			

		

		

			
				
容器内存与JVM内存

			
		

	





	

		

			

				
					
K8S 查看pod节点的磁盘和内存使用情况

				
			

			

				

					qq_42516605的博客
				

				

					11-14
					
					2869
					
				

			

		

		

			
				
kubectl exec -it   pod名称    -n 命名空间 – df -h。查询某个节点的总内存

			
		

	





	

		

			

				
					
k8s pod container node cluster 之间的关系

				
			

			

				

					面朝大海,春暖花开
				

				

					03-23
					
					3724
					
				

			

		

		

			
				
pod label selctor rs svc deploment hpa LB

			
		

	





	

		

			

				
					
Kubernetes 系列】K8S 进阶 容器Pod 分配内存资源

				
			

			

				

					2401_84537540的博客
				

				

					05-01
					
					445
					
				

			

		

		

			
				
【代码】【Kubernetes 系列】K8S 进阶 容器Pod 分配内存资源。

			
		

	





	

		

			

				
					
6-1 K8sContainer, Pod, Namespace内存与cpu资源限制

				
			

			

				

					分享云原生,容器,运维等干货知识
				

				

					09-11
					
					3017
					
				

			

		

		

			
				
Kubernetes对资源的限制实际上是通过cgroup来控制的,cgroup是容器的一组用来控制内核如何运行进程的相关属性集合。针对内存、CPU和各种设备都有对应的cgroup。默认情况下,Pod运行没有CPU和内存的限额。这意味着系统中的任何Pod将能够像执行Pod所在节点机器一样,可以消耗足够多的CPU和内存。一般会针对某些应用的Pod资源进行资源限制,这个资源限制是通过resources的requests(要分配的资源)和limits(最大使用资源)来实现的。

			
		

	





	

		

			

				
					
Node.js-获取并观察KubernetesPod资源CPU内存的利用率

				
			

			

				

					08-09
				

			

		

		

			
				
获取并观察Kubernetes Pod资源(CPU,内存)的利用率

			
		

	





	

		

			

				
					
K8S测试pod内存和CPU资源不足

				
			

			

				

					虽非技冠群英首,愿与同道共长歌; 大鹏一日同风起,扶摇直上九万里;
				

				

					10-25
					
					714
					
				

			

		

		

			
				
K8S测试pod内存和CPU资源不足

			
		

	





	

		

			

				
					
Pod内存使用率很高的问题分析

				
			

			

				

					xiaoyi52的专栏
				

				

					09-25
					
					4922
					
				

			

		

		

			
				
JVM并不会主动将未使用的内存归还给操作系统。

			
		

	





	

		

			

				
					
K8S容器项目容器内存配置规则

				
			

			

				

					bird_tp的博客
				

				

					05-06
					
					3960
					
				

			

		

		

			
				
一、整体概览



整体原则:容器最小内存容器最大内存设置为一致

更多参数里:最大堆内存和最小堆内存设置为一致

二、细节解释

在 Kubernetes 中,像 CPU 这样的资源被称作“可压缩资源”(compressible resources)。它的典型特点是,当可压缩资源不足时,Pod 只会“饥饿”,但不会退出。而像内存这样的资源,则被称作“不可压缩资源(incompressible resources)。当不可压缩资源不足时,Pod 就会因为 OOM(Out-Of-Memory)被内核杀掉。


			
		

	





	

		

			

				
					
k8s 之 cache缓存机制

				
			

			

				

					levena的博客
				

				

					10-13
					
					3118
					
				

			

		

		

			
				
Scheduler进行完成调度流程的决策之后,为pod选择了一个node节点,此时还未进行后续的Bind操作,但实际上资源已经分配给该pod, 此时会先更新到本地缓存(),然后再等待apiserver进行数据的广播并且最终被kubelet来进行实际的调度。快照是对Cache某一时刻的复制,随着时间的推移,Cache的状态在持续更新,kube-scheduler在调度一个Pod的时候需要获取Cache的快照。

			
		

	





	

		

			

				
					
k8s-容器内获取Pod信息和资源限制

				
			

			

				

					架构+开发+运维
				

				

					08-15
					
					3726
					
				

			

		

		

			
				
1. 获取pod信息
1.1 一个简单示例
1.2 可以获取那些信息
2. 获取容器资源限制

			
		

	





	

		

			

				
					
Kubernetes Pod内存监控

				
			

			

				

					Things change, roll with them.
				

				

					08-21
					
					5301
					
				

			

		

		

			
				
WorkingSet(container_memory_working_set_bytes)和Usage(container_memory_usage_bytes)基本上是以1:1的趋势到达limits,然后Pod触发OOM。当Usage达到Limits,Pod不会OOM,随着WorkingSet继续增大,Cache逐渐减小,等WorkingSet到达Limit,Pod才OOM。基于以上的指标,就可以计算Pod内存使用率,当然,需要Pod有设置Limits才有意义。

			
		

	





	

		

			

				
					
查看k8s集群的资源使用情况

				
			

			

				

					海鸥
				

				

					03-07
					
					1667
					
				

			

		

		

			
				
查看k8s集群的资源使用情况。

			
		

	





	

		

			

				
					
云原生-Kubernetes集群监控指标项详解

				
			

			

				

					张军伟的技术博客
				

				

					11-09
					
					3779
					
				

			

		

		

			
				
Kubernetes集群全方位监控说明

			
		

	





	

		

			

				
					
k8s pod containercreating

					
最新发布

				
			

			

				

					06-05
				

			

		

		

			
				
<think>嗯,用户现在遇到了KubernetesPod卡在ContainerCreating状态的问题,我需要帮ta解决这个问题。根据用户的请求,结合引用[1]和[2]的内容,我需要系统性地分析可能的原因和解决方案。首先从问题表现入手。ContainerCreating状态表示Pod已调度到节点,但容器未完成创建。这通常发生在镜像拉取、网络配置或存储挂载阶段。用户可能刚部署新Pod时遇到这个问题,或者运维中突然出现异常。排查思路需要分层展开。第一步是查看Pod描述信息,这是最直接的诊断方式,kubectldescribe命令能显示Pending原因、事件日志和错误详情。引用[2]中第六部分提到查看pod描述信息的方法,这应该作为首要建议。比如显示ImagePullBackoff的话,显然是镜像问题。然后是网络问题排查。Kubernetes网络插件如果异常,会导致CNI配置失败,特别要注意calico或flannel的Pod状态。节点间的网络策略也很关键,比如防火墙是否阻断端口。引用[1]提到要等待Pod进入Running状态,暗示部署过程需要网络连通性。镜像相关因素也不能忽视。如果用户使用了私有镜像仓库,需要检查pullsecret配置是否正确。还遇到过大小写敏感的镜像名拼写错误,或者远程仓库响应超时的情况。底层存储问题方面,PersistentVolumeClaim如果处于Pending会阻塞Pod创建。需要确认StorageClass可用性、节点存储配额,以及NFS服务器连接等细节。特别是StatefulSet类的有状态应用更容易在此处出错。对于kubelet日志的获取方法可能需要具体说明。用journalctl-ukubelet查看日志时,注意加上-f实时过滤关键字"ContainerCreating"或相关容器ID,这样用户能快速定位报错片段。最后给出分步骤流程图很重要。用户可能是新手运维人员,按"查看详情→网络检查→镜像验证→存储排查→插件重启"的路径来操作,能避免遗漏关键点。同时必须提醒kubelet服务健康度检查,这是很多文档容易忽略的基础项。</think>
Kubernetes Pod 处于 `ContainerCreating` 状态通常表明容器尚未成功启动。以下是系统化的排查步骤和解决方案:

---

### **排查步骤 & 解决方案**  
#### **1. 查看 Pod 详细状态(关键)**  
```bash
kubectl describe pod <pod-name> -n <namespace>   # 替换 Pod 名称和命名空间
```  
- **重点关注 `Events` 部分**,常见错误包括:  
  - **`Failed to pull image`**: 镜像拉取失败(权限/路径错误)  
  - **`NetworkPlugin not ready`**: CNI 网络插件未就绪  
  - **`MountVolume failed`**: 存储卷挂载失败(PVC 不存在/权限不足)  
  - **`ImagePullBackOff`**: 镜像拉取策略错误或镜像仓库不可达  

#### **2. 检查网络插件状态**  
```bash
kubectl get pods -n kube-system | grep -E 'cni|flannel|calico'  # 检查 CNI 组件  
kubectl logs -n kube-system <cni-pod-name>                      # 查看 CNI 日志
```  
- **常见问题**:  
  - CNI 组件未运行或崩溃(重启相关 DaemonSet)  
  - 节点防火墙阻止 VXLAN/IPIP 流量(开放 UDP 8472/VXLAN 端口)  

#### **3. 验证镜像可用性**  
```bash
kubectl get pod <pod-name> -o yaml | grep image:    # 确认镜像名称
```  
- **排查方向**:  
  - 镜像名称是否正确(区分公有/私有仓库)  
  - 私有镜像需正确配置 `imagePullSecret`(引用[2]中提到 YAML 清单)  
  - 执行 `docker pull <image>` 在节点手动测试镜像拉取  

#### **4. 检查存储配置(PersistentVolume)**  
```bash
kubectl get pvc -n <namespace>           # 查看 PVC 状态
kubectl describe pvc <pvc-name> -n <namespace>  # 检查 PVC 事件
```  
- **解决方案**:  
  - 确保 PVC 处于 `Bound` 状态(引用[2]中存储卷配置)  
  - 验证 StorageClass 是否存在且可用  
  - NFS/GlusterFS 需确认服务端连通性  

#### **5. 查看节点资源状态**  
```bash
kubectl describe node <node-name> | grep -A 10 "Allocated resources"  # 检查资源配额
kubectl get events --field-selector involvedObject.name=<pod-name>    # 过滤事件
```  
- **常见问题**:  
  - 节点磁盘空间不足(`df -h` 检查 `/var/lib/docker`)  
  - 内存/CPU 超分导致调度失败  

#### **6. Kubelet 服务日志**  
```bash
journalctl -u kubelet -f | grep -i containercreating  # 实时追踪 kubelet 日志
```  
- **关键日志**:  
  - CRI(容器运行时)错误(如 Docker/Containerd 崩溃)  
  - AppArmor/SELinux 安全策略拦截  

---

### **快速修复方案**  
```mermaid
graph TD
    A[Pod卡在ContainerCreating] --> B{查看 describe 事件}
    B --> |镜像问题| C[检查镜像名称/拉取密钥]
    B --> |存储问题| D[修复 PVC 或 StorageClass]
    B --> |网络问题| E[重启 CNI 或检查防火墙]
    B --> |资源不足| F[清理节点磁盘/扩容]
    C --> G[重新部署 Pod]
    D --> G
    E --> G
    F --> G
```

---

### **相关问题**  
1. **如何诊断 Kubernetes Pod 处于 `ImagePullBackOff` 状态?**  
2. **PVC 绑定失败(Pending)的常见原因及解决方法?**  
3. **Kubernetes 节点磁盘空间不足时如何自动清理?**  
4. **如何为私有镜像仓库配置 `imagePullSecret`?**  

> 提示:检查 CNI 日志时若发现 `failed to allocate IP`,可能需扩容 Pod 网段(如 Calico IP 池)[^2]。

[^1]: 引用[1]: kubectl create -f busybox.yaml, Wait for pod running state.  
[^2]: 引用[2]: 【云原生kubernetesPod 配置详解与运维管理实践.

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 3

	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值