k8s-运行时:cgroup内存泄漏

最新推荐文章于 2024-04-27 07:00:00 发布
最新推荐文章于 2024-04-27 07:00:00 发布
阅读量2k 收藏 1
点赞数
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34482492/article/details/129197788
版权

K8S 问题排查:cgroup 内存泄露问题 - 云+社区 - 腾讯云 (tencent.com)

1.背景

kubelet误报内存压力(实际内存使用率很小)->节点被打污点->节点上pod处于驱逐状态->重启kubelet会恢复

;kubelet 和message是有这个错

1.2.2 日志

kubelet日志:

日志中搜索memory:

SLUB日志:

1.2.3 日志

kubelet日志:

"mkdir /svs/fs/caroun/memorv/kubepods/<pod>/<容器>: cannot allocate memory "

 

2.cgroup

在当前内核版本下,开启了kmem accounting功能,会导致memory cgroup的条目泄漏无法回收。

2.1 cgroup泄漏

内核对于每个cgroup子系统的的条目数是有限制的,限制的大小定义在kernel/cgroup.c(#L139 )。

当pod的yaml中存在request/limit,为pod在cgroup创建一个子目录,条目数加1。

因为开启了kmem accounting功能,删除POD时,虽然删除对应cgroup子目录,但是条目没有回收。最终,条目数量达到上限,导致无法创建cgroup。

2.2 查看当前已使用的cgroup条目

cat /proc/cgroups |awk '{if($1~"memory") print $3}'

3.解决方案-1

在kubelet层面和docker层面均关闭kmem accounting。

3.1 针对kubelet方面

1)代码中已关闭kmem

/kubernetes/vendor/github.com/opencontainers/runc/libcontainer/cgroups/fs/memory.go

 

func (kl *Kubelet) initializeRuntimeDependentModules() -》 func (cm *containerManagerImpl) Start() → func (cm *containerManagerImpl) setupNode() 

--

func ensureSystemCgroups(rootCgroupPath string, manager cgroups.Manager)

func ensureProcessInContainerWithOOMScore(pid int, oomScoreAdj int, manager cgroups.Manager) 

-

func (m *manager) Apply(pid int)

func (s *MemoryGroup) Apply()

2) 检查

预期:以下文件不存在

/sys/fs/cgroup/memory/memory.kmem.slabinfo

/sys/fs/cgroup/memory/kubepods/memory.kmem.slabinfo

3.2 针对docker[runc]方面

1)runc编译时,关闭kmem

仓库地址:opencontainers/runc: CLI tool for spawning and running containers according to the OCI specification (github.com)

commit:425e105d

编译方法:[cent os]

yum install libseccomp-devel

make BUILDTAGS='seccomp apparmor nokmem selinux'      // ubuntu需要apparmor

增加执行权限:chmod 777 

结果:

3) 检查

memory.kmem.slabinfo文件:

注意:检查YAML文件中request、limit的POD中的容器。例如:service-controller。

检查(预期:以下文件夹不存在memory.kmem.slabinfo):

/sys/fs/cgroup/memory/kubepods/pod<ID>/<容器ID>

/sys/fs/cgroup/memory/kubepods/besteffort/pod<ID>/<容器ID>

/sys/fs/cgroup/memory/kubepods/burstable/pod<ID>/<容器ID>

查找容器对应的memory.kmem.slabinfo文件:

find /sys/fs/cgroup/memory -name "memory.kmem.slabinfo" | grep 容器 id,得到slabinfo的路径,直接 cat看结果

4.解决方案-2

升级系统内核至4.0以上

推荐添加Tlinux 2.4。

存量系统升级:腾讯iWiki (woa.com)

5.修复操作

采用方案1。

仅需处理centos系统,ubuntu内核版本较高无需处理。

1)存量集群的存量节点[仅处理cent os节点]

1.替换/usr/bin中的runc

2.chmod 777 runc

3.针对cent OS:

yum -y install libseccomp.x86_64

4.注意事项:

替换完成后,不需要重启,之后在该节点运行的容器将不会开启kmem。针对存量的POD,可以重建来关闭kmem。

如果节点已经发生OOM,则需要reboot节点(内存已经发生泄漏,需要重启解决)。

2)新增集群/存量集群的新节点

会直接使用新的runc,无需额外操作。

参考文献:

1.kmem accounting导致的cgroup泄漏问题 · 备忘 (witd.in)

2.K8S 问题排查:cgroup 内存泄露问题 - 云+社区 - 腾讯云 (tencent.com)

文涛-容器开发
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s cgroup 内存泄漏案例分享。
xiaoqingyu123的博客
05-09 1286
正常的k8s集群可以创建pod。内存使用完后,可以释放,内核参数如下: (使用腾讯云 7.9系统测试时,不能复现故障,tlinux 7.6 可以复现) 占用内存空间,直至使用满。 无法创建文件,pod也无法创建。 删除部分文件夹后,释放内存空间,pod可以正常创建出来。 故障注入,去除内核参数: 占用内存空间,直至使用满。 删除部分文件,还是无法释放内存,无法创建pod,无法创建文件。 删除部分文件,还是无法释放内存,无法创建pod,无法创建文件.
cgroup泄露导致容器无法启动
BIGmustang的博客
03-29 637
cgroup泄露导致容器无法启动 现象: 容器状态异常, 通常是FATAL 容器日志中, 显示"mkdir /sys/fs/cgroup/ no space left on device" 分析处理 cgroup 是系统对进程进行资源限制的控制单位, 在4.3 以上的linux内核这个问题才算是稳定修复 首先执行下列检查: cat /proc/cgroups|grep memory 结果中第三位是当前cgroups占用/目录的数量 ls -l -F /sys/fs/cgroups/memory/docke
kmem问题造成K8S中pod内存溢出
01-20
问题排查 可以通过 $ cat /sys/fs/cgroup/memory/kubepods/burstable/pod//memory.kmem.slabinfo 来查看是否存在bug,如果返回 cat: memory.kmem.slabinfo: Input/output error 则不存在bug 问题解决 需要在 kubelet 和 docker 上都将 kmem account 功能关闭。kubelet 需要重新编译。 kubelet 版本是 v1.14 及以上,则可以通过在编译 kubelet 的时候加上 Build Tags 来关闭 $ git clone --branch
怎么排查K8S容器当中的Java程序内存泄露问题
最新发布
Coder加油站的专栏
04-27 1611
今天早上发现生产线其中的一个服务在凌晨的时候突然重启了,内存突然从1G升到1.8G,CPU使用量从0.1升到了0.28,说明在这个时间点,内存突增达到了限额以上,服务重启了。因为这个服务布署了多节点,这次重启对业务基本没什么影响,但是存在内存泄漏的问题,需要重视和解决。
[内存泄漏]docker使用cgroup memory导致的内存泄漏
03-30 5872
docker使用cgroup memory导致的内存泄漏1. 问题现象及分析1.1 问题现象1.2 问题分析2. 解决办法和尝试2.1 升级到修复后的版本。2.2 禁用cgroup的kmem属性。3. 方案无效及分析3.1 确认内核是否支持该选项3.2 新的解决方案太长不看版本 1. 问题现象及分析 1.1 问题现象 公司产品(centos 3.10.0-514)需要用频繁启动docker,每个docker的运行时间不固定,一段时间后设备内存不足。 使用内存泄漏分析工具(传送门https://blog.cs
k8s 内存泄露?证书过期?盘他!
云原生实验室
05-19 548
随着微服务的不断推进,使用 k8s 集群越来越多,越来越深入,随之而来会遇到一系列的问题,本文向大家介绍实际使用 k8s 遇到的一些问题以及解决方法。问题一:修复 K8S 内存泄露问题问题...
k8s中java内存溢出问题排查
qq_15075633的博客
05-19 311
ubuntu64-raspberrypi4-k8s:Ansible剧本在Raspberry Pi 4集群上设置Kubernetes
05-23
动作设置UTC时区使用正确的cgroup选项设置启动cmdline文件创建新用户:kube 启用无密码的sudo 添加公共ssh密钥将SSH服务器配置为仅基于密钥的身份验证安装Rancher的K3s Kubernetes发行版要求(显然)一个或多个...
resource-stealing:跨cgroup窃取cpu份额以加快容器映像提取
04-07
在将Pod调度到节点后,容器运行时会下载许多映像,然后将其解压缩并设置本地文件系统,此外还会执行许多其他例程。 这需要时间。 在拉出映像之前,分配给容器的CPU份额数量将对容器不可用。 cgroups资源窃取的想法...
node-cgroup-metrics:NodeJs模块,用于从容器内部读取cgroup指标
05-17
CGROUP-METRICS 用于读取指标的节点模块。 从/sys/fs/cgroup/读取。 内存指标: 从路径/sys/fs/cgroup/memory/memory读取: 原始值: stat.rss :匿名和交换高速缓存内存的字节数 kmem.usage_in_bytes :当前...
cgroup-linux内存资源管理.pdf
07-11
Linux内核中的CGroup(Control Groups)是一种强大的系统资源管理工具,...正确配置和使用CGroup的内存管理功能,可以帮助优化系统资源利用率,防止资源耗尽导致的系统崩溃,尤其在运行大量服务和应用的服务器环境中。
k8s最佳实践:cgroup kmem的内存泄露问题
Y先森0.0
05-16 4567
k8s最佳实践:cgroup kmem的内存泄露问题 1.前言 这篇文章的全称应该叫:[在某些内核版本上,cgroup 的 kmem account 特性有内存泄露问题],如果你遇到过 pod 的 "cannot allocated memory"报错,node 内核日志的“SLUB: Unable to allocate memory on node -1”报错,那么恭喜你中招了。 2.现象 ...
K8s 内存泄漏处理方法
Harry_z666的博客
07-07 1030
k8s内存泄漏处理方法
k8s最佳实践:部分业务POD内存持续泄露问题
Y先森0.0
05-16 3000
K8S部分业务POD内存持续泄露问题 1.前言 线上K8S集群有极少量的PHP业务,它们的POD内存持续走高直到OOM,相信与特殊代码场景有关,需要展开分析。 我从POD的内存监控原理入手,分析到底内存用到了哪些地方。 2.分析过程 第一步:分析pod的内存限制原理 容器化依赖Cgroup限制内存资源,Docker采集容器的内存使用量也是基于Cgroup技术 实际上,Cgroup标准做法是...
【转载】K8S 问题排查:cgroup 内存泄露问题
我的博客
10-26 7275
【转载】K8S 问题排查:cgroup 内存泄露问题 原文:http://www.xuyasong.com/?p=2049 前言 这篇文章的全称应该叫:[在某些内核版本上,cgroup 的 kmem account 特性有内存泄露问题],如果你遇到过 pod 的 cannot allocated memory 报错,node 内核日志的 SLUB: Unable to allocate memory on node -1 报错,那么恭喜你中招了。 这个问题在 pingcap 文章 和腾讯云的官方修复都发
Linux Debugging (九) 一次生产环境下的“内存泄露
weixin_33825683的博客
11-17 196
一个偶然的机会,发现一个进程使用了超过14G的内存。这个进程是一个RPC server,只是作为中转,绝对不应该使用这么多内存的。即使并发量太多,存在内存中的数据太多,那么在并发减少的情况下,这个内存使用肯定会降下来。但是事实上,这个内存会一直涨,直到被OOM Killer杀掉。由于这个rpc server的逻辑比较简单,先走读源码,除了发现一些简单的编程上面的问题外,没有大的问题。先上val...
k8s: 创建pod时报错:mkdir /sys/fs/cgroup/cpuset/kubepods.slice/kubepods-besteffort.slice
amadeus_liu2的博客
07-06 8683
k8s
/sys/fs/cgroup/memory/kubepods/burstable/pod。。。no space left on device
会哭的雨@的博客
08-26 2821
/sys/fs/cgroup/memory/kubepods/burstable/pod。。。no space left on device Warning FailedCreatePodContainer 1s (x12 over 2m18s) kubelet, 10.0.3.247 unable to ensure pod container exists: failed to create container for [kubepods burstable pod78ed7...
docker: --cgroupns: invalid CGROUP mode.
05-13
这个错误通常出现在使用 Docker 运行容器时,Docker 无法找到正确的 cgroups 模式。 解决方法如下: 1. 确认你的系统支持 cgroups,并且 cgroups 文件系统已经挂载。 2. 检查 Docker 是否正确地配置了 cgroups 模式。在 Docker 的配置文件中,你可以设置 cgroups 模式为 "systemd" 或 "cgroupfs"。请确保选择正确的模式。 3. 如果你的系统使用的是 systemd,那么你需要确保 Docker 的 systemd unit 文件正确配置了 cgroups 模式。你可以在 "/etc/systemd/system/docker.service.d/" 目录下找到这个文件。 4. 如果你的系统使用的是 cgroupfs,那么你需要确保 cgroupfs 文件系统已经正确挂载。 5. 最后,你可以尝试升级 Docker 到最新版本,以获得更好的兼容性和稳定性。 希望这些方法能够帮助你解决这个问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值