k8s最佳实践:cgroup kmem的内存泄露问题

最新推荐文章于 2024-03-24 12:04:22 发布
VIP文章 最新推荐文章于 2024-03-24 12:04:22 发布
阅读量4.4k 收藏 13
点赞数 1
文章标签: docker kubernetes linux 运维 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39382769/article/details/124812543
版权

k8s最佳实践:cgroup kmem的内存泄露问题

1.前言

这篇文章的全称应该叫:[在某些内核版本上,cgroup 的 kmem account 特性有内存泄露问题],如果你遇到过 pod 的 "cannot allocated memory"报错,node 内核日志的“SLUB: Unable to allocate memory on node -1”报错,那么恭喜你中招了。

2.现象

我们的环境:

  • K8S 版本: 1.11、1.13、1.16
  • docker 版本:18.09
  • 机器操作系统:centos7、centos6
  • 机器内核版本:3.10

可能会出现以下几种现象:

1.pod 状态异常,describe pod 显示原因为: no allocated memory

2.节点上执行 dmesg 有日志显示:slub无法分配内存:SLUB: Unable to allocate memory on node -1

3.节点 oom开始按优先级杀进程,有可能会导致有些正常 pod 被杀掉

4.机器free 查看可用内存还有很多,却无法分配,怀疑是内存泄露。

3.原因

一句话总结:

cgroup 的 kmem account 特性在 3.x 内核上有内存泄露问题,如果开启了 kmem account 特性 会导致可分配内存越来越少,直到无法创建新 pod 或节点异常。

几点解释:

  1. kmem account 是cgroup 的一个扩展,全称CONFIG_MEMCG_KMEM,属于机器默认配置,本身没啥问题,只是该特性在 3.10 的内核上存在漏洞有内存泄露问题,4.x的内核修复了这个问题。
  2. 因为 kmem account 是 cgroup 的扩展能力,因此runc、docker、k8s 层面也进行了该功能的支持,即默认都打开了kmem 属性
  3. 因为3.10 的内核已经明确提示 kmem 是实验性质,我们仍然使用该特性,所以这其实不算内核的问题,是 k8s 兼容问题。

4.解决方案

方案1:升级内核

既然是 3.x 的问题,直接升级内核到 4.x 及以上即可,内核问题解释:

这种方式的缺点是:

  1. 需要升级所有节点,节点重启的话已有 pod 肯定要漂移,如果节点规模很大,这个升级操作会很繁琐,业务部门也会有意见,要事先沟通。
  2. 这个问题归根结底是软件兼容问题,3.x 自己都说了不成熟,不建议你使用该特性,k8s、docker却 还要开启这个属性,那就不是内核的责任,因为我们是云上机器,想替换4.x 内核需要虚机团队做足够的
最低0.47元/天 解锁文章
Y先森0.0
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kmem问题造成K8S中pod内存溢出
01-20
问题排查 可以通过 $ cat /sys/fs/cgroup/memory/kubepods/burstable/pod//memory.kmem.slabinfo 来查看是否存在bug,如果返回 cat: memory.kmem.slabinfo: Input/output error 则不存在bug 问题解决 需要在 kubelet 和 docker 上都将 kmem account 功能关闭。kubelet 需要重新编译。 kubelet 版本是 v1.14 及以上,则可以通过在编译 kubelet 的时候加上 Build Tags 来关闭 $ git clone --branch
linux devkmem 源码,linux dev/mem dev/kmem实现访问物理/虚拟内存
weixin_34856444的博客
05-12 449
dev/mem: 物理内存的全镜像。可以用来访问物理内存。/dev/kmem: kernel看到的虚拟内存的全镜像。可以用来访问kernel的内容。调试嵌入式Linux内核时,可能需要查看某个内核变量的值。/dev/kmem正好提供了访问内核虚拟内存的途径。现在的内核大都默认禁用了/dev/kmem,打开的方法是在 make menuconfig中选中 device drivers --> ...
k8s笔记27--快速了解 k8s pod和cgroup的关系
最新发布
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
03-24 1213
随着云计算、云原生技术的成熟和广泛应用,K8S已经成为容器编排的事实标准,学习了解容器K8S技术对于新时代的IT从业者显得极其重要了。之前在文章docker笔记13–面试必知的容器核心技术中介绍了容器相关的核心技术,包括容器的隔离技术和限制技术,搞明白这些内容可以说理解了容器技术的底层原理。k8s作为当前最流行的开源的容器编排引擎,用来对容器化应用进行自动化部署、 扩缩和管理,它以pod为基础构成了各种有价值的工作负载。
《趣谈Linux》总结四:内存管理
chuixue24的博客
03-19 808
16 内存管理(上)-规划进程内存空间布局 每个进程应该有自己的内存空间。 内存空间都是独立的、相互隔离的。 对于每个进程来讲,看起来应该都是独占的。 16.1 独享内存空间的原理 内存都被分成一块一块儿的,都编好了号,这些一块一块的地址是实实在在的地址,通过这个地址我们就能够定位到物理内存的位置; 如果所有进程都使用这些地址,同时发生同一个位置的写操作时很容易起冲突 所以使用虚拟地址:物理地址对于进程不可见,谁也不能直接访问这个物理地址。 操作系统会给进程分配一个虚拟地址。 所有进程看到的这个地址
SLUB: Unable to allocate memory java-Docker内存限制导致SLUB无法使用大页面缓存进行分配
Kainx
05-07 690
Docker 内存限制导致SLUB unable to allocate with large page cache
linux /dev/mem /dev/kmem驱动分析
深海
07-18 2275
/dev/mem说明驱动注册用户空间调用mmap方法/dev/mem/dev/kmem 说明 /dev/mem”是linux系统的一个虚拟字符设备,无论是标准linux系统还是嵌入式linux系统,都支持该设备。 物理内存的全镜像。可以用来访问物理内存 /dev/kmem: kernel看到的虚拟内存的全镜像。可以用来访问kernel的内容。kernel部分内存用户空间本不可访问。但是因为所有进程共享内核空间的页表。所以内核虚拟地址对应物理地址是确定的。kmem的作用即是根据kernel的虚拟地址,找到对应
linux 无法分配内存,Linux SLUB:无法在节点上分配内存
weixin_34552961的博客
04-30 590
我们经常在下面留言 /var/log/messageskernel: SLUB: Unable to allocate memory on node -1 (gfp=0x8020)在某些情况下,后跟分配表kernel: cache: sigqueue(12019:454c4ebd186d964699132181ad7367c669700f7d8991c47d4bc053ed101675bc)...
k8s 环境 系统日志 报 Unable to allocate memory on node -1
roxxo的博客
04-13 1685
k8s 中一容器 始终占用显卡不释放,相关占用显卡进程已 kill 通过dmesg 查看 报 Unable to allocate memory on node -1 ,治标不治本的办法 重启对应的容器 通过搜索 要最终解决该问题, 当前系统内核 4.4.0-xxxx 该版本问题,导致k8s上出问题, 解决办法升级ubuntu 系统内核,该内核升级不要手动随意下载一高版本de...
linux内核中的 哈希表_诊断修复 TiDB Operator 在 K8s 测试中遇到的 Linux 内核问题
weixin_39584571的博客
11-22 118
作者:张文博KubernetesK8s)是一个开源容器编排系统,可自动执行应用程序部署、扩展和管理。它是云原生世界的操作系统。 K8s 或操作系统中的任何缺陷都可能使用户进程存在风险。作为 PingCAP EE(效率工程)团队,我们在 K8s 中测试 TiDB Operator(一个创建和管理 TiDB 集群的工具)时,发现了两个 Linux 内核错误。这些错误已经困扰我们很长一段时间,并没有在...
cgroup-linux内存资源管理.pdf
07-11
cgroup-linux内存资源管理.pdf cgroup-linux内存资源管理.pdf cgroup-linux内存资源管理.pdf cgroup-linux内存资源管理.pdf cgroup-linux内存资源管理.pdf cgroup-linux内存资源管理.pdf cgroup-linux内存资源管理....
cgroupv2.js:cgroup v2 Node.js绑定
02-13
由于cgroupfs不是磁盘上的文件系统,而是事实上的内核接口,因此使用同步IO方法不会出现性能问题。 但是我发现使用readFileSync和writeFileSync并提供同步API更加困难,因为我需要创建更多的变量名称。 例子 一些...
k3s:轻量级Kubernetes
02-02
K3s-轻量级Kubernetes 轻量级的Kubernetes。 生产就绪,易于安装,一半内存,所有二进制文件不到100 MB。 适用于: 边缘 物联网 CI 发展历程 臂 嵌入k8s k8s集群学博士学位不可行的情况 这是什么? K3s是生产...
李泽帆:Cgroup的过去、现状和开发计划
09-02
该文档来自于Docker Meetup深圳站的活动,Linux内核Maintainer李泽帆带来了关于cgroups内核特性的话题。
通过cgroup来限制KVM虚拟机使用的cpu和内存性能调优实践
04-24
控制群组(control group)(在此指南中简写为 cgroup)是 Linux kernel 的一项功能:在一个系统中运行的层级制进程组,您可对其进行资源分配(如 CPU 时间、系统内存、网络带宽或者这些资源的组合)。通过使用 ...
cgroup限制mongodb进程内存大小
01-19
以限制mongodb的内存大小为例。 mkdir /cgroup/memory/test/ echo 50M > /cgroup/memory/test/memory.limit_in_bytes echo 50M > /cgroup/memory/test/memory.memsw.limit_in_bytes cgexec -g memory:test mongod -...
ubuntu64-raspberrypi4-k8s:Ansible剧本在Raspberry Pi 4集群上设置Kubernetes
05-23
动作设置UTC时区使用正确的cgroup选项设置启动cmdline文件创建新用户:kube 启用无密码的sudo 添加公共ssh密钥将SSH服务器配置为仅基于密钥的身份验证安装Rancher的K3s Kubernetes发行版要求(显然)一个或多个...
cgroupspy:用于管理cgroup的Python库
05-27
例如-内存,cpuset,cpus等cgroup中的“计算机”分区。 所有这些属性都可以通过machine.cpus,machine.cpuset等访问。 VMTree-带有实用程序的分组树的子类,可简化libvirt guest虚拟机的管理 用法示例 #Import ...
docker_cgroup_info:获取 docker 容器的 cgroup 信息
06-14
Docker cgroup 信息不赞成这样做。用于检查 docker 容器的最小工具用法 usage: docker_info.py [-h] [--cgroup_name CGROUP_NAME] [--verbose VERBOSE] [--list LIST] [--url URL]一般安装 virtualenv env. env/bin/...
k8s cgroup
08-05
Kubernetes (k8s) 是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。而 cgroup(Control Group)是 Linux 内核提供的一种机制,用于限制、隔离和控制进程组的资源使用。 在 Kubernetes 中,cgroup用于对容器进行资源管理。Kubernetes 使用 cgroup 来限制容器可以使用的 CPU、内存、磁盘和网络等资源。通过配置 cgroup 参数,可以为每个容器分配特定的资源配额,从而确保容器之间的资源隔离。 通过 cgroupKubernetes 可以实现以下功能: - 控制容器的 CPU 使用率,确保公平的 CPU 分配; -限制容器的内存使用量,避免资源耗尽; - 管理容器的磁盘使用,防止磁盘空间不足; - 控制容器的网络带宽,避免网络拥塞。 总之,k8s 使用 cgroup 来管理和控制容器的资源使用,以确保应用程序能够在一个可控的环境中运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值