创建 memory cgroup 失败原因与解决方案

最新推荐文章于 2023-06-21 18:31:35 发布
最新推荐文章于 2023-06-21 18:31:35 发布
阅读量8.8k 收藏 5
点赞数 1
分类专栏: Linux操作系统 Kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38814358/article/details/111557729
版权
现象

测试环境中一台机器上的pod转移到其他节点,涉及大量的容器创建和销毁。偶尔会遇到 memory cgroup 无法创建的问题。体现在日志上如下:

Dec 22 08:00:00  kubelet: E1222 08:00:00.498519   15276 pod_workers.go:190] Error syncing pod 568af631-f663-4475-86f2-fa6bf1612659 ("crawler-api-7948c5bc95-5kgp8_brown(568af631-f663-4475-86f2-fa6bf1612659)"), skipping: failed to ensure that the pod: 568af631-f663-4475-86f2-fa6bf1612659 cgroups exist and are correctly applied: failed to create container for [kubepods besteffort pod568af631-f663-4475-86f2-fa6bf1612659] : mkdir /sys/fs/cgroup/memory/kubepods/besteffort/pod568af631-f663-4475-86f2-fa6bf1612659: cannot allocate memory
Dec 22 08:00:01  dockerd: time="2020-12-22T08:00:01.237276548+08:00" level=error msg="Handler for POST /containers/394d2d6299fa46be7056e82ac9504fd1488b0af87fdadbe9b907d882eb7b3b8f/start returned error: OCI runtime create failed: container_linux.go:349: starting container process caused \"process_linux.go:297: applying cgroup configuration for process caused \\\"mkdir /sys/fs/cgroup/memory/kubepods/besteffort/pod2d78b9c8-6696-46ac-8326-aa9477f1b1d0/394d2d6299fa46be7056e82ac9504fd1488b0af87fdadbe9b907d882eb7b3b8f: cannot allocate memory\\\"\": unknown"

手动创建时,错误如下:

mkdir: cannot create directory '/sys/fs/cgroup/memory/test': Cannot allocate memory
原因

3.10.x 内核的 memory cgroup 实现中 kmem accounting 相关是 alpha 特性,实现上由许多 BUG 。具体我们的场景,开启 kmem accouting 后有两个问题:

SLAB 泄露,具体可以参见 Try to Fix Two Linux Kernel Bugs While Testing TiDB Operator in K8s | TiDB
memory cgroup 泄露,删除后不会被完全回收。又因为内核对 memory cgroup 总数有 65535 总数限制,频繁创建删除开启了 kmem 的 cgroup ,会让内核无法再创建新的 memory cgroup ,出现上面的错误。
问题复现与修复验证脚本
“SLAB” 泄露
可以观察 k8s pods 创建过程中,系统 slab 情况。若稳定增长,则存在泄露。

watch -n 1 'ls /sys/kernel/slab  | wc -l'

当然也可以手动创建 cgroup 并开启 kmem 后删除来模拟。

此问题,在 CentOS 7.6 的当前最新内核 (3.10.0-1062.12.1.el7.x86_64) 中已修复。

Memory Cgroup 泄露
先将所有的 memory cgroup 耗尽:

mkdir /sys/fs/cgroup/memory/test
for i in `seq 1 65535`;do mkdir /sys/fs/cgroup/memory/test/test-${i}; done

在其中一个 cgroup 中打开 kmem ,然后删除:

for n in 1 -1; do
echo $n > /sys/fs/cgroup/memory/test/test-1/memory.kmem.limit_in_bytes
done
echo $$ > /sys/fs/cgroup/memory/test/test-1/cgroup.procs
echo $$ > /sys/fs/cgroup/memory/cgroup.procs
rmdir /sys/fs/cgroup/memory/test/test-1

尝试重新创建:

mkdir /sys/fs/cgroup/memory/test/test-1

此问题,在 CentOS 7.6 的当前最新内核 (3.10.0-1062.12.1.el7.x86_64) 中还未修复,需要开使用 “cgroup.memory=nokmem” 内核参数全局禁用 kmem 来避免。

总结

若系统发行版本无法升级,可以通过以下方案解决:

方法一
业务层不使用 kmem 特性,比如 kubelet 需要使用 nokmem BUILDTAG 来编译,具体可以参见 https://pingcap.com/blog/try-to-fix-two-linux-kernel-bugs-while-testing-tidb-operator-in 。

方法二
但不是所有的场景都方便关闭 kmem 使用。比如容器中创建 k8s 集群测试。此时,可以在内核层全局使用 “cgroup.memory=nokmem” 参数关闭。

注意,内核需要升级到 CentOS 7.6 的最新版(当前为: 3.10.0-1062.12.1.el7.x86_64) ,以修复 SLAB 泄露问题。

若系统发行版可以升级,建议直接升级到 CentOS 8 。内核为 4.x 版本,cgroup 相关实现各方面都健壮许多。

从 RedHat 的 Issue 中,据说问题在 7.8 的 kernel-3.10.0-1075.el7 最终修复了。等 CentOS 7.8 发布后,也是一个选择。

参考文章

https://zhuanlan.zhihu.com/p/106757502
https://help.mulesoft.com/s/article/RTF-How-to-Resolve-the-Cgroup-Memory-Leaking-Issue-in-Runtime-Fabric

奔跑的胖小孩
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
k8s cgroup 内存泄漏案例分享。
xiaoqingyu123的博客
05-09 1299
正常的k8s集群可以创建pod。内存使用完后,可以释放,内核参数如下: (使用腾讯云 7.9系统测试时,不能复现故障,tlinux 7.6 可以复现) 占用内存空间,直至使用满。 无法创建文件,pod也无法创建。 删除部分文件夹后,释放内存空间,pod可以正常创建出来。 故障注入,去除内核参数: 占用内存空间,直至使用满。 删除部分文件,还是无法释放内存,无法创建pod,无法创建文件。 删除部分文件,还是无法释放内存,无法创建pod,无法创建文件.
Cgroup-memory子系统分析(2)
tanzhe2017的博客
07-11 3009
1.1      Oom1.1.1      简介Oom的全称是out-of-memory,是内核在处理系统内存不足而又回收无果的情况下采取的一种措施,内核会经过选择杀死一些进程,以释放一些内存,满足当前内存申请的需求。所以oom是一种系统行为,对应到memcg的oom,其原理和动机跟全局oom是一样的,区别只在于对象的不同,全局oom的对象是整个系统中所有进程,而memcg oom只针对memc...
【转载】K8S 问题排查:cgroup 内存泄露问题
我的博客
10-26 7333
【转载】K8S 问题排查:cgroup 内存泄露问题 原文:http://www.xuyasong.com/?p=2049 前言 这篇文章的全称应该叫:[在某些内核版本上,cgroup 的 kmem account 特性有内存泄露问题],如果你遇到过 pod 的 cannot allocated memory 报错,node 内核日志的 SLUB: Unable to allocate memory on node -1 报错,那么恭喜你中招了。 这个问题在 pingcap 文章 和腾讯云的官方修复都发
[内存泄漏]docker使用cgroup memory导致的内存泄漏
03-30 5950
docker使用cgroup memory导致的内存泄漏1. 问题现象及分析1.1 问题现象1.2 问题分析2. 解决办法和尝试2.1 升级到修复后的版本。2.2 禁用cgroup的kmem属性。3. 方案无效及分析3.1 确认内核是否支持该选项3.2 新的解决方案太长不看版本 1. 问题现象及分析 1.1 问题现象 公司产品(centos 3.10.0-514)需要用频繁启动docker,每个docker的运行时间不固定,一段时间后设备内存不足。 使用内存泄漏分析工具(传送门https://blog.cs
Ubuntu安装Docker
wxg198286的专栏
03-04 539
#安装Docker sudo apt install docker.io # 启动docker,并设置开启启动 systemctl start docker systemctl enable docker #查看Docker版本 docker -v # 配置docker镜像加速,添加如下代码(log配置表示docker容器产生的日志大小限制,避免占满磁盘空间) vim /etc/d...
树莓派上的Docker出现cgroup错误
weixin_34367845的博客
12-17 751
2019独角兽企业重金招聘Python工程师标准>>> ...
docker内存溢出异常
默子昂
07-06 3622
E0630 15:40:19.507103 3953 pod_workers.go:191] Error syncing pod 2b0e72a7-3678-4554-aa27-45734035b5d6 ("chaosblade-tool-pv9sz_default(2b0e72a7-3678-4554-aa27-45734035b5d6)"), skipping: failed to "CreatePodSandbox" for "chaosblade-tool-pv9sz_default(2b0.
Azure Stack下Docker容器解决方案.pptx
10-10
标题中的“Azure Stack下Docker容器解决方案”表明了本文主要探讨的是如何在Azure Stack平台上利用Docker容器技术来构建和管理应用程序。Azure Stack是微软提供的一个混合云平台,它允许企业在本地环境中部署和运行...
Cgroup与单机资源管理 共32页.pptx
06-09
Cgroup的设计是一个层次化的结构,允许创建嵌套的控制组,这样就可以形成一个树状的组织结构。每个控制组可以拥有自己的资源限制,并且这些限制可以继承给其下的子控制组。控制组框架提供了基础的机制,而不同的子...
Linux Cgroup 技术 与 智能手机系统 IO 优化
09-22
演示了 Docker 虚拟化的基础技术之一:Linux Cgroup 以及 该技术在智能手机 IO 优化方面的潜在应用。 2015/04/26 @ 泰晓沙龙 第二期
hugetlb_cgroup.rar_cgroup hugetlb
09-20
"hugetlb_cgroup.rar_cgroup hugetlb"这个标题提到了cgroups与hugetlbfs的结合,hugetlbfs是Linux内核提供的一种特殊的文件系统,用于支持大页内存(hugepages)。大页内存是一种优化内存分配的技术,它可以减少内存...
docker cgroup 资源监控的详解
01-11
docker cgroup 资源监控的详解 1.cgroup术语解析: blkio: 这个subsystem可以为块设备设定输入/输出限制,比如物理驱动设备(包括磁盘、固态硬盘、USB等)。 cpu: 这个subsystem使用调度程序控制task对CPU的使用...
容器报错 unable to apply cgroup configuration: mkdir /sys/fs/cgroup/memory/docker/...: cannot allocat
czjnoe的博客
06-16 1413
systemctl restart docker --重启docker。systemctl daemon-reload --重启daemon。修改daemon.json,增加节点default-ulimits。重启daemon配置、重启docker,
Docker(二十)-Docker容器CPU、memory资源限制
thlzjfefe的博客
09-26 713
背景 在使用 docker 运行容器时,默认的情况下,docker没有对容器进行硬件资源的限制,当一台主机上运行几百个容器,这些容器虽然互相隔离,但是底层却使用着相同的 CPU、内存和磁盘资源。如果不对容器使用的资源进行限制,那么容器之间会互相影响,小的来说会导致容器资源使用不公平;大的来说,可能会导致主机和集群资源耗尽,服务完全不可用。 docker 作为容器的管理者,自然提供了控制容器资源的功能。正如使用内核的 namespace 来做容器之间的隔离,docker 也是通过内核的 cgroups 来
cgroup泄露导致容器无法启动
BIGmustang的博客
03-29 640
cgroup泄露导致容器无法启动 现象: 容器状态异常, 通常是FATAL 容器日志中, 显示"mkdir /sys/fs/cgroup/ no space left on device" 分析处理 cgroup 是系统对进程进行资源限制的控制单位, 在4.3 以上的linux内核这个问题才算是稳定修复 首先执行下列检查: cat /proc/cgroups|grep memory 结果中第三位是当前cgroups占用/目录的数量 ls -l -F /sys/fs/cgroups/memory/docke
docker容器的资源配置
weixin_41648905的博客
11-16 1226
Docker是通过 Cgroup ,来控制容器使用的资源配额,包括 CPU、内存、磁盘三大方面, 基本覆盖了常见的资源配额和使用量控制。 Cgroup 资源配置方法 Cgroup 是 Control Groups 的缩写,是Linux 内核提供的一种可以限制、记录、隔离进程组所使用的物理资源(如 CPU、内存、磁盘 IO 等等)的机制, 被 LXC、docker 等很多项目用于实现进程资源控制。Cgroup 本身是提供将进程进行分组化管理的功能和接口的基础结构,I/O 或内存的分配控制等具体的资源管理是通过
linux 内核资源配置--cgroups详解以及在docker中的应用
岳来的博客
06-21 4579
linux 内核资源配置--cgroups详解以及在docker中的应用
Docker 4 Docker安全(cgroup控制容器资源),lxcfs安全加固,docker-machine部署及配置,docker-compose的部署
lb1331的博客
03-09 414
1.使用内核自带Cgroups 控制docker资源上限: 1.1: pwd :/sys/fs/cgroup/cpu 查看docker集成的cgoups控制cpu的命令:(还有memory) [root@server1 cpu]# docker run --help | grep cpu --cpu-count int CPU count (Windows only) --cpu-percent int
k8s使用kubeadm初始化成功后,重启docker出现如下错误的原因是什么:kubelet cgroup driver: “cgroupfs“ is different from docker c
sinat_37163044的博客
06-18 984
请注意,修改kubelet的配置可能需要重启kubelet服务,这可能会中断正在运行的容器和Pod,请谨慎操作,并确保在生产环境中使用适当的测试和备份策略。它使用文件和目录结构表示层次化的cgroup组织,并通过读写文件来配置和监控各个cgroup的资源使用情况。不同的cgroup驱动程序会使用不同的方式来设置和管理cgroup,从而影响容器对其资源的访问和限制。这个错误提示表明在Kubernetes (k8s)环境中,kubelet的cgroup驱动程序与Docker的cgroup驱动程序不匹配。
memory cgroup out of memory
最新发布
06-28
### 回答1: "memory cgroup out of memory" 的意思是内存控制组(memory cgroup)已经用尽了内存。这通常是由于系统中运行的进程使用了过多的内存,导致内存不足。需要释放一些内存或增加系统内存才能解决这个问题。 ### 回答2: memory cgroup out of memory的意思是,内存控制组(memory cgroup)已经耗尽了内存。内存控制组是Linux内核提供的一种资源管理机制,可用于对进程或进程组进行资源限制。这些资源包括内存、CPU和IO等。内存控制组指定了一个可用的内存限额,一旦进程或进程组使用的内存超过了这个限额,就会出现内存不足的情况。 当出现memory cgroup out of memory错误时,它通常是由以下几个原因造成的: 1. 系统内存资源已经很紧张,没有足够的空闲内存可供使用。 2. 特定进程或进程组尝试使用超出其内存限额的内存。 3. 内存控制组的配置不正确,导致内存限额设置不合理,或者内存控制组的hierarchy(内存层次结构)可能过于复杂,导致某些进程无法正确地使用内存。 为解决这个问题,您可以尝试以下几种方法: 1. 扩大系统内存,增加可用内存资源。 2. 查找和解决内存泄漏问题,或是降低进程的内存消耗。 3. 重新配置内存控制组,调整内存限额等。 总之,内存不足是一个常见的系统问题,需要我们根据具体情况迅速找到并解决问题,以保证系统的正常运行。 ### 回答3: Memory cgroup out of memory是一个操作系统中的错误信息,它表示系统不能满足当前进程运行所需的内存,通常出现在Linux系统中。这个错误的原因是内存限制控制组(memory cgroup)已经超出了其允许的内存资源,导致当前的进程无法获取所需的内存,从而无法正常运行。 内存限制控制组是Linux系统提供的一种机制,用于限制进程的内存使用。每个进程都可以被分配到不同的内存限制控制组中,并且每个控制组都可以定义该组中进程所允许的最大内存使用量。当一个进程尝试超过其控制组允许的最大内存使用量时,就会出现Memory cgroup out of memory错误。 这种错误的出现可能是因为系统内存不足,也可能是因为某些进程占用了过多的内存资源。解决这个问题的方法有很多,其中一种方法是通过增加系统内存来缓解问题。另外,也可以尝试通过调整内存限制控制组的配置,来优化系统的内存使用。同时,优化进程运行中的内存使用也是解决这个问题的关键。例如,可以减少进程的内存使用,或者通过实现内存复用等技术来优化内存的使用效率。 总之,Memory cgroup out of memory是系统资源管理中常见的错误,需要针对具体情况进行分析和优化,以保证系统的稳定性和可靠性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值