K8S 生态周报| containerd 存在 bug 会导致 Pod 被重启,建议升级

最新推荐文章于 2024-05-23 20:16:19 发布
最新推荐文章于 2024-05-23 20:16:19 发布
阅读量385 收藏
点赞数
文章标签: kubernetes bug 容器 云原生 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tao12345666333/article/details/128630244
版权

「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」[1]

大家好,我是张晋涛。

这是 2023 年的第一篇『K8S 生态周报』,在上个月的月中之后我因为阳了就停止更新了,一直在修养身体。生病相关的内容我在上一篇文章 张晋涛:我的 2022 总结 | MoeLove有做介绍。愿大家都注意身体,保持健康。

这篇中的内容同样也包含了近一个月中值得关注的内容。

containerd v1.6.15 发布

尽管 containerd 的 1.7.0-beta.2 也已经于近期发布,但正式版发布还需要一段时间。现在 containerd 使用最多的还是 v1.6 和 v1.5 这两个主要版本, 这次发布的 v1.6.15 中有一个非常关键的变更,是 #7845 - CRI: Fix no CNI info for pod sandbox on restart by dcantah

我主要也是想聊一下这个,从 v1.6.9 开始的最近几个 containerd 版本中都受到了此问题影响。

简单来说就是 containerd 重启后,Sandbox IP 没能保留,最终导致 kubelet 将会重启 Pod (如果重启 kubelet)。

具体现象如下,在 Node 上通过 crictl 工具查看任意未使用 HostNetwork 的 Pod 的 .status.network 字段,可以看到如下结果:

(MoeLove) ➜ crictl -r unix:///run/containerd/containerd.sock  inspectp e03077da768e6  | jq .status.network
{
  "additionalIps": [],
  "ip": "10.244.1.5"

在重启 containerd 后,再次重复操作,就会发现 .status.network.ip 字段为空了:

(MoeLove) ➜ crictl -r unix:///run/containerd/containerd.sock  inspectp e03077da768e6  | jq .status.network
{
  "additionalIps": [],
  "ip": ""

不过次是如果在 Kubernetes 集群中通过 kubectl 查看该 Pod 的状态,会发现 Pod 的 IP 还在。

(MoeLove) ➜ kubectl get pods moelove-test-pods -o json | jq .status.podIPs
[
  {
    "ip": "10.244.1.5"
  }
]

但如果在 Node 上重启 kubelet,再次查看 Pod 的状态,则会发现它的 IP 发生了变化,并且还重启了。

(MoeLove) ➜ kubectl get pods moelove-test-pods -o json | jq '{podIPs: .status.podIPs, restartCount: .status.containerStatuses[].restartCount}'
{
  "podIPs": [
    {
      "ip": "10.244.1.8"
    }
  ],
  "restartCount": 1
}

在生产环境中,比如要进行版本升级,或者一些维护操作,kubelet 发生重启是一件常规的事情。 但上述这种情况, 在大多数生产环境都是不能接受的。 这将会导致 Node 上的 Pod 都发生重启,进而可能会影响到业务的稳定性。

现在 containerd 上游已经进行了修复,也 cherry-pick 到了 v1.6.15 中。 所以,如果想要避免或者修正此问题,可以使用低于 containerd v1.6.9 的版本,或者直接更新到 v1.6.15。

更多关于 containerd 新版本的变更,请参考其 ReleaseNote

Apache APISIX Ingress v1.6 发布

距离上一个版本 v1.5 发布,已经过了 3 个月,Apache APISIX Ingress v1.6 终于正式发布!

在这个版本中,共有 29 位贡献者参与代码提交,其中 17 位是新增贡献者,感谢大家的支持和参与!

6430e53b44eae76a135b28ef7545268e.png

img

本次发布的 Apache APISIX Ingress v1.6 版本带来了众多新特性,主要集中在对 Gateway API 的支持,扩展 APISIX Ingress 的使用场景,和一些易用性方面的提升。以下是一些重点特性的介绍。

扩展对 Gateway API 的支持

Gateway API 是 Kubernetes 中下一代的 Ingress 规范,致力于提供富有表现力,可扩展和面向角色的接口来发展 Kubernetes 的网络,各个 Ingress controller 项目都在积极推进对该规范的支持。Apache APISIX Ingress 项目自 2021 年开始就在积极的紧跟上游社区的发展,并积极推进 Gateway API 在 APISIX Ingress 项目中的实现。

19fd0bfb5a5bb624cffbeecbfac852d2.png

img

当前,Apache APISIX Ingress 项目中通过 Gateway API 进行配置的特性尚处于 beta 阶段,欢迎大家在测试环境中积极进行测试,并提供反馈,我们将持续的对此特性进行优化和改进,尽早完成此特性的 GA。

在 APISIX Ingress v1.6 版本中,我们添加了对 Gateway API 中的 TCPRouteUDPRoute 这两种资源的支持,同时,扩展了对 HTTPRoute 资源中 Filters 的支持,这样用户在使用 HTTPRoute 资源的时候,就可以在该资源中应用一些重定向,Header 改写等能力了。

例如可以使用如下配置:

apiVersion: gateway.networking.k8s.io/v1alpha2
kind: HTTPRoute
metadata:
  name: http-route
spec:
  hostnames: ["httpbin.org"]
  rules:
  - matches:
    - path:
        type: PathPrefix
        value: /headers
    filters:
    - type: RequestHeaderModifier
      requestHeaderModifier:
        add:
        - name: X-Api-Version
          value: v1
        - name: X-api-key
          value: api-value
        set:
        - name: X-Auth
          value: filter
        remove:
        - Remove-header
    backendRefs:
    - name: httpbin
      port: 80

通过使用此配置,client 在对 httpbin.org 进行请求时,将会添加 "X-Api-Version": "v1""X-Api-Key": "api-value" 的请求头,并将 "X-Auth" 请求头的值设置为 filter ,同时将移除 "Remove-Header" 这个请求头 。

另外就是在这个版本中,增加了对外部服务的代理以及 ExternalName Service 支持;还有支持和外部服务注册发现组件的集成,比如 Consul, Nacos,Eureka, DNS 等, 而 这些功能在很多 Ingress controller 中是不具备的 。

此外,我们也积极的和众多开源项目进行了协作,比如可以和 Flagger 以及 Argo 等 GitOps 领域的主流项目集成。关于 Flagger 和 Argo 等相关项目的使用,可以查看我之前写的文章。

欢迎感兴趣的小伙伴查看具体的 ReleaseNote

KEDA v2.9 正式发布

KEDA 是一个基于 Kubernetes ,由事件驱动的自动扩容组件,它为部署在 Kubernetes 上的应用提供了非常灵活的弹性伸缩的能力。

它最新发布的 v2.9 包含了很多值得注意的更新:

  • 新增了基于 CouchDB, Etcd 和 Loki 的缩放器;

  • 为应用程序自动缩放引入现成的 Grafana Dashboard;

1a9ebd15cded15e01cadc529abda2f2f.png

Grafana Dashboard

  • 提供了经过改进的 Prometheus metrics;

  • 实验性的支持了在轮询间隔期间为缩放器缓存指标值的功能;

  • 关于 metrics 指标如何暴露给 Kubernetes 的性能改进和架构变化;

  • Azure Key Vault 身份验证提供程序现在支持用于身份验证的容器标识;

  • 针对我们 50 多个缩放器中的一些缩放器的大量新功能和修复;

另外需要注意的是,根据 KEDA 的废弃策略,自 v2.9 开始官方仅为 Kubernetes v1.23 及更新版本提供支持。

HPA 的 apiVersion 也从 autoscaling/v2beta2 升级到了 autoscaling/v2

更多关于此版本的变更,请查看 ReleaseNote

上游进展

  • kubernetes components using leader election to leases by aimuz · Pull Request #114055 · kubernetes/kubernetes 我在之前的文章中介绍过,Kubernetes 中的选举机制,之前使用基于 ConfigMap 和 secrets 的比较多,但是自 Kubernetes v1.27 开始,将仅仅允许使用 Lease 的接口进行选举相关操作了;

  • Add metric for max no. of CIDRs available by aryan9600 · Pull Request #112260 · kubernetes/kubernetes 新增了 cidrset_cidrs_max_totalmulticidrset_cidrs_max_total metrics,用于暴露有多少 CIDRs 可供分配;

  • Migrate to runtime.v1 for CRI · Issue #125 · Mirantis/cri-dockerd 目前 Mirantis 维护的 cri-dockerd 项目也已经将 CRI 升级到了 runtime.v1 了,这样就可以和 Kubernetes 新版本进行兼容,配合使用了;

  • Release v1.9.0-beta.1 · kyverno/kyverno Kyverno 发布了 v1.9.0-beta.1 版本;

  • Release v1.13.0-rc4 · cilium/cilium Cilium v1.13.0-rc4 发布;

  • Release v23.0.0-rc.1 · moby/moby Docker v23.0.0-rc1 发布,这次应该不会跳票了,现在试用里面便有我的一些努力;

其他

  • CircleCI security alert: Rotate any secrets stored in CircleCI (Updated Jan 7) CircleCI 中的一些信息可能遭到了泄漏,所以建议用户尽快修改其中的机密信息。(我已经注销了账户)

  • update image to v1.7.0 by wangyang0616 · Pull Request #2636 · volcano-sh/volcano 看起来 volcano 是打算发布 v1.7 版本了

欢迎订阅我的文章公众号【MoeLove】

ee8f0070b68ffbe40a9fc0ec0c5df5cb.png
TheMoeLove

参考资料

[1]

k8s生态: https://zhuanlan.zhihu.com/container

张晋涛-MoeLove
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
k8s集群pod经常重启问题排查总结.doc
10-29
k8s集群pod经常重启问题排查总结
containerd发布了CRI修复程序和CVE-2019-5736更新的runc
weixin_33919950的博客
02-15 131
欢迎来到containerd的v1.1.6版本! 这是containerd 1.1版本的第六个补丁版本。这个发布专门跟新了runc以修复CVE-2019-5736容器逃逸漏洞。几个CRI修复也包括在内此版本并列在下面。 运行引擎 Update runc to 6635b4f0c6af3810594d2770f662f34ddc15b40d...
K8S为何杀死我的应用
jdk2010的博客
10-25 433
首发公众号:二进制社区,转载联系:[email protected]导读"K8S为我们提供自动部署调度应用的能力,并通过健康检查接口自动重启失败的应用,确保服务的可用性,但这种自动运维在某些特殊情况下造成我们的应用陷入持续的调度过程导致业务受损,本文就生产线上一个核心的平台应用被K8S频繁重启调度问题展开剖解,抽丝剥茧一步步从系统到应用的展开分析,最后定位到代码层面解决问题"现象 在搭建devops基础设施后,业务已经全盘容器化部署,并基于k8s实现自动调度,但个别业务运行一段时间后k8s自动重
通过kubeadm部署kubernetes(1.27版本)
qq_42980254的博客
02-26 970
kubernetes是一个可移植的、可扩展的开源平台,用于容器化的工作负载和服务,可促进声明式配置和自动化。Kubernetes 拥有一个庞大且快速增长的生态系统。Kubernetes 的服务、支持和工具广泛可用。这个名字源于希腊语,意为“舵手”或“飞行员”。k8s 这个缩写是因为 k 和 s 之间有八个字符的关系。Google 在 2014 年开源了 Kubernetes 项目。Kubernetes 建立在的基础上,结合了社区中最好的想法和实践早期,各个组织机构在物理服务器上运行应用程序。
k8s中CPU分配过少造成不断重启
qq_15156403的博客
04-24 1917
log一下:k8s中CPU分配过少造成不断重启
超长可视化指南!带你理清K8S部署的故障排查思路,让bug无处遁形
gman344的博客
02-07 277
本文将帮助你厘清在Kubernetes中调试 deployment的思路。下图是完整的故障排查思路,如果你想获得更清晰的图片,请在公众号后台(RancherLabs)回复“troubleshooting”。 当你希望在Kubernetes中部署一个应用程序,你通常需要定义三个组件: Deployment——这是创建名为Pods的应用程序副本的方法 Serivce——内部负载均衡器,将流量路由到Pods Ingress——可以描述流量如何从集群外部流向Service 接下来,我们通过...
k8s切换引擎Containerd
huahua1999的博客
03-28 1789
1、为什么弃用docker Kubernetes平台中,为了解决与容器运行时(例如Docker)集成 问题,在早期社区推出了CRI(Container Runtime Interface,容 器运行时接口),以支持更多的容器运行时。 当我们使用Docker作为容器运行时之后,架构是这样的,如图所示: Kubernetes 计划弃用就是kubelet中dockershim。即 Kubernetes kubelet 实现中的组件之一,它能够与 Docker Engine 进行通信 • Doc...
00.k8s+containerd环境实施文档V1.2
06-08
本资料为团队整理的k8s+container相关概念整理与从零到1实施部署过程记录,主要目的为转向云编程提供基础概念与基础运行环境。 1).解决k8s相关概念扫盲问题 2). 解决k8s+contanerd搭建一个基本运行环境参考
k8spod监控看板
12-15
k8spod监控看板
k8s最新版本1.24.3基于containerd搭建集群,集成buildkit、nerdctl构建镜像,jenkins自动化。
08-03
1、k8s最新版本1.24.3基于containerd搭建集群 2、集成buildkit、nerdctl工具构建镜像 3、基于Oracle JDK11,使用jlink工具精简JRE包,自定义容器镜像 4、部署基于NFS的StorageClass,作为共享存储,Docker Registry...
k8s,1.21升级为1.22后升级内置服务的脚本
02-14
k8s从1.21升级为1.22(k8s和节点分组都要升级) 官网地址:https://raw.githubusercontent.com/kubernetes/dashboard/v2.7.0/aio/deploy/recommended.yaml ingreass 部分语法有变更,不支持 serviceName,service...
k8s--基础--12.2--pod--生命周期,状态,重启策略
zhou920786312的博客
08-09 441
postStart定义# preStop定义# livenessProbe定义# readinessProbe定义。
Kubernetes(K8s) 资源对象Label
calvinSAlee的博客
08-31 724
kubernetes中的Label(标签)是给用户可灵活定义的对象属性,可以对于正在运行的资源对象,随时可以通过kubectl label命令进行增加、修改、删除等操作。方便区分和选择容器,关联到对象上。
Kubernetes Pod生命周期和重启策略
tom的博客
02-21 867
Pod 的整个生命周期中被系统定义为各种状态,熟悉Pod的各种状态对于理解如何设置Pod 的调度策略,重启策略是很有必要的。 Pod 状态如下表: 状态值 描述 Pending API Server 已经创建该Pod,但在Pod 内还有一个或多个容器的镜像没有创建,包括正在下载镜像的过程 Runging Pod 内所有容器均已创建,且至少有一个容器处于运行状态,正在启动状态或正在重启状态 Succeded Pod 内所有容器均成功执行后退出,且不重启 Failed Pod内所
记录一次失败的本地K8S集群安装记录
常备不懈
05-18 857
在Ubuntu上从头开始搭建KubernetesK8s)集群需要进行几个步骤,包括安装必要的软件、配置集群节点、初始化主节点和添加工作节点。
k8s笔记 | helm包管理
weixin_41104307的博客
05-19 436
如果是在 arm64下的话,使用 registry.cn-beijing.aliyuncs.com/pylixm/nfs-subdir-external-provisioner:v4.0.0 这个镜像报错 exec / nfs-subdir-external-provisioner format error 简单来说就是平台不匹配,解决方案就是自己构建一个匹配的镜像包。由于需要提前创建storageClass manage-nfc-storage,在前面的章节中总共有三个文件。
k8s 声明式资源管理
最新发布
fhjtg的博客
05-23 669
声明式管理方法:1.适合于对资源的修改操作2.声明式资源管理方法依赖于资源配置清单文件对资源进行管理资源配置清单文件有两种格式:yaml(人性化,易读),json(易于api接口解析)3.对资源的管理,是通过事先定义在统一资源配置清单内,再通过陈述式命令应用到k8s集群里4.语法格式:kubectl create/apply/delete -f xxxx.yaml//查看资源配置清单//解释资源配置清单。
k8s】存储 pvc 参数列表
m0_45406092的博客
05-23 181
注意:pvc没有亲和性参数。
KubernetesPod 之间的亲和性与反亲和性
千度阿三的博客
05-18 393
Pod 反亲和性是与亲和性完全相反的定义,一旦发现它的约束条件匹配,那么这个 Pod 比与匹配 Pod 在不同的上的工作节点上。它主要可以用来保障不是热点区域和不需要高性能响应但很重要的业务不受干扰。
k8s nacos pod重启排查
02-05
此外,还可以通过查看k8s集群的事件日志,使用kubectl get events -n namespace命令来查看集群的事件信息,可能有一些关于资源调度、节点故障等方面的问题导致nacos pod重启。 最后,如果以上方法都无法排查出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

张晋涛-MoeLove

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值