[内存泄漏]docker使用cgroup memory导致的内存泄漏

最新推荐文章于 2023-09-11 11:35:40 发布
最新推荐文章于 2023-09-11 11:35:40 发布
阅读量6.1k 收藏 12
点赞数
分类专栏: linux 内存泄漏 文章标签: linux 内存泄漏 docker cgroup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xqjcool/article/details/115333218
版权

docker使用cgroup memory导致的内存泄漏

1. 问题现象及分析

1.1 问题现象

公司产品(centos 3.10.0-514)需要用频繁启动docker,每个docker的运行时间不固定,一段时间后设备内存不足。

使用内存泄漏分析工具(传送门https://blog.csdn.net/xqjcool/article/details/115110579)分析发现是slab占用过高
在这里插入图片描述
进一步查看发现存在太多的 cgroup memory申请。
在这里插入图片描述

1.2 问题分析

这些都是docker创建时通过 cgroup memory申请的slab,但是docker关闭时,这些slab却没有释放。导致越积越多,将内存消耗殆尽。

经过调查,这是3.x版本内核bug。
请参考
https://support.d2iq.com/s/article/Critical-Issue-KMEM-MSPH-2018-0006

https://github.com/torvalds/linux/commit/d6e0b7fa11862433773d986b5f995ffdf47ce672

2. 解决办法和尝试

网上推荐了几个方案,相对可操作的有2个。

2.1 升级到修复后的版本。

将系统升级到修复后的4.x版本。
不太可行,好多产品已经售出,且升级版本风险太大,太多东西需要重新适配。否掉。

2.2 禁用cgroup的kmem属性。

通过修改虚机启动的引导项 grub 中的cgroup.memory=nokmem,让机器启动时直接禁用 cgroup的 kmem 属性。
这个方案操作方便,影响小。于是采用了该方案。

3. 方案无效及分析

查到解决方法后,心情大好,本以为问题解决。谁知道增加 cgroup.memory=nokmem 启动项,重启设备后,问题依旧。看起来这个配置并未生效。

3.1 确认内核是否支持该选项

因为配置为生效,所以怀疑内核不支持该选项。如何确认呢?
经过分析内核启动项都对应 __setup宏定义,指定相应boot参数对应的处理函数。

/*
 * Only for really core code.  See moduleparam.h for the normal way.
 *
 * Force the alignment so the compiler doesn't space elements of the
 * obs_kernel_param "array" too far apart in .init.setup.
 */
#define __setup_param(str, unique_id, fn, early)			\
	static const char __setup_str_##unique_id[] __initconst	\
		__aligned(1) = str; \
	static struct obs_kernel_param __setup_##unique_id	\
		__used __section(.init.setup)			\
		__attribute__((aligned((sizeof(long)))))	\
		= { __setup_str_##unique_id, fn, early }

#define __setup(str, fn)					\
	__setup_param(str, fn, fn, 0)


__setup(“console=”, console_setup); //用来分析 console=ttyS0,38400n8 选项
__setup(“root=”, root_dev_setup); //用来分析 root=/dev/mapper/cl_cpe-root

我在系统源码中并未找到 cgroup.memory 对应的 __setup定义。

又在linux最新源码中看到 cgroup.memory 的__setup定义确实存在。通过查找发现这是在2016年的一个commit中添加的。

commit f7e1cb6ec51b041335b5ad4dd7aefb37a56d79a6
Author: Johannes Weiner <hannes@cmpxchg.org>
Date:   Thu Jan 14 15:21:29 2016 -0800

    mm: memcontrol: account socket memory in unified hierarchy memory controller
    
    Socket memory can be a significant share of overall memory consumed by
    common workloads.  In order to provide reasonable resource isolation in
    the unified hierarchy, this type of memory needs to be included in the
    tracking/accounting of a cgroup under active memory resource control.
    
    Overhead is only incurred when a non-root control group is created AND
    the memory controller is instructed to track and account the memory
    footprint of that group.  cgroup.memory=nosocket can be specified on the
    boot commandline to override any runtime configuration and forcibly
    exclude socket memory from active memory resource control.
    
    Signed-off-by: Johannes Weiner <hannes@cmpxchg.org>
    Acked-by: David S. Miller <davem@davemloft.net>
    Reviewed-by: Vladimir Davydov <vdavydov@virtuozzo.com>
    Acked-by: Michal Hocko <mhocko@suse.com>
    Signed-off-by: Andrew Morton <akpm@linux-foundation.org>
    Signed-off-by: Linus Torvalds <torvalds@linux-foundation.org>
...//省略部分
@@ -5602,10 +5654,32 @@ bool mem_cgroup_charge_skmem(struct mem_cgroup *memcg, unsigned int nr_pages)
  */
 void mem_cgroup_uncharge_skmem(struct mem_cgroup *memcg, unsigned int nr_pages)
 {
-       page_counter_uncharge(&memcg->tcp_mem.memory_allocated, nr_pages);
+#ifdef CONFIG_MEMCG_KMEM
+       if (!cgroup_subsys_on_dfl(memory_cgrp_subsys)) {
+               page_counter_uncharge(&memcg->tcp_mem.memory_allocated,
+                                     nr_pages);
+               return;
+       }
+#endif
+       page_counter_uncharge(&memcg->memory, nr_pages);
+       css_put_many(&memcg->css, nr_pages);
 }
 
-#endif
+#endif /* CONFIG_INET */
+
+static int __init cgroup_memory(char *s)
+{
+       char *token;
+
+       while ((token = strsep(&s, ",")) != NULL) {
+               if (!*token)
+                       continue;
+               if (!strcmp(token, "nosocket"))
+                       cgroup_memory_nosocket = true;
+       }
+       return 0;
+}
+__setup("cgroup.memory=", cgroup_memory);

最终确认当前系统不支持通过 cgroup.memory=nokmem 启动项来关闭cgroup memory的kmem功能。

3.2 新的解决方案

查看系统启动log时,发现有这一行提示:

Aug 17 11:47:47 VM kernel: [    0.000000] allocated 8388608 bytes of page_cgroup
Aug 17 11:47:47 VM kernel: [    0.000000] please try 'cgroup_disable=memory' option if you don't want memory cgroups

进一步查看源码,发现可以通过 cgroup_disable=memory 直接禁止cgroup 的 memory功能。
同时也在Kernel-parameters.txt 中找到对该选项的详细描述:

cgroup_disable= [KNL] Disable a particular controller 
	Format: {name of the controller(s) to disable} {Currently supported controllers - "memory"}

既然单独关闭cgroup memory的 kmem不支持,那就关闭掉整个cgroup memory。

修改/boog/grub2/grub.cfg 增加 cgroup_disable=memory 后,重启系统。docker运行正常,没有内存泄漏。

太长不看版本

  1. 3.x版本cgroup.memory存在bug,docker或其他使用cgroup.memory中kmem功能的应用会造成slab内存泄漏
  2. 部分系统可以通过升级到4.x的修复版本来解决,或者通过 cgroup.memory=nokmem 启动项来规避。
  3. 部分系统不支持cgroup.memory=nokmem 启动项,可以通过 cgroup_disable=memory 启动项来规避。
浮沉飘摇
关注
专栏目录
Kernel: 内存控制参数 memory cgroup/ kernel memory leak
mzhan017的博客
11-04 1049
/sys/fs/cgroup/memory/kubepods.slice/kubepods-burstable.slice/kubepods-burstable-pod55c9f3ea_59cd_49a3_a52c_b29c9ca14e8c.slice [root@]# ls -ltrh total 0 -rw-r--r--. 1 root root 0 Sep 14 09:49 memory.limit_in_bytes //可以通过此文件控制当前cgroup的内存限制 drwxr-xr-x. 2
cgroup memory使用超过限制会怎样?
最新发布
weixin_38184628的博客
07-06 1164
cgroup可以对一个进程或者一组进程使用的资源进行限制,可以限制的资源包括cpu、memory、io等。其中memory可以对内存资源进行限制,比如我们限制进程所能使用的内存最大是1G,那么当进程已经使用了1G的内存的时候,这个时候进程再申请内存会怎么样呢?内存使用超过限制的时候有如下两种结果:(1)默认情况下,内存使用超过限制,会oom(out of memory),oom的时候系统会使用SIGKILL信号将进程杀死。(2)cgroup中也可以进行配置,oom的时候不杀死进程,此时进程进入D状态。
docker从入门到内存溢出
weixin_43581620的博客
05-21 512
复制这段内容后打开百度网盘手机App,操作更方便哦 链接:https://pan.baidu.com/s/1FbjJ4YTSLkpI18p5AHnDVw 提取码:os2m
k8s cgroup 内存泄漏案例分享。
xiaoqingyu123的博客
05-09 1349
正常的k8s集群可以创建pod。内存使用完后,可以释放,内核参数如下: (使用腾讯云 7.9系统测试时,不能复现故障,tlinux 7.6 可以复现) 占用内存空间,直至使用满。 无法创建文件,pod也无法创建。 删除部分文件夹后,释放内存空间,pod可以正常创建出来。 故障注入,去除内核参数: 占用内存空间,直至使用满。 删除部分文件,还是无法释放内存,无法创建pod,无法创建文件。 删除部分文件,还是无法释放内存,无法创建pod,无法创建文件.
k8s-运行时:cgroup内存泄漏
qq_34482492的博客
02-24 2154
cgroup内存泄漏。通过重新编译runc来解决
docker内存溢出
lch_pp的博客
09-11 203
master1节点上的服务会因为高可用的原因会自己飘移到其他节点,先systemctl status keepalived判断高可用的状态,actice即可reboot重启服务器。三主三从k8s集群,在master1节点上docker运行的rancher挂掉了,重启镜像显示docerk内存溢出。master1节点上运行了一些服务,确定是rancher搭建的集群还是kubeadm搭建的集群,可通过。2.重启释放内存(我采用的)然后再次访问发现服务恢复正常。
docker内存泄漏,不同内存record方法的准确度对比
weixin_38621239的博客
11-30 884
docker内存泄漏,不同内存统计方法的对比
cgroup----memory子系统
西红柿炒土豆
09-23 1295
memory子系统 memory 子系统可以设定 cgroup 中任务使用的内存限制,并自动生成由那些任务使用的内存资源报告。memory子系统是通过linux的resource counter机制实现的。下面我们就先来看一下resource counter机制。 resource counter是内核为子系统提供的一种资源管理机制。这个机制的实现包括了用于记录资源的数据结构和相关函数
docker cgroup 技术之memory(首篇)
sunshineywz的博客
08-16 901
测试环境centos7,内核版本4.20 内核使用cgroup对进程进行分组,并限制进程资源和对进程进行跟踪。内核通过名为cgroupfs类型的虚拟文件系统来提供cgroup功能接口。cgroup有如下2个概念: subsystem:用于控制cgroup中的进程行为的内核组件,可以在/proc/cgroups查看所有支持的subsystem,subsystem也别称为resource controller;第二列为croup id;第三列为cgroup中进程数目。 # cat /proc/cgroups #
k8s最佳实践:cgroup kmem的内存泄露问题
Y先森0.0
05-16 4672
k8s最佳实践:cgroup kmem的内存泄露问题 1.前言 这篇文章的全称应该叫:[在某些内核版本上,cgroup 的 kmem account 特性有内存泄露问题],如果你遇到过 pod 的 "cannot allocated memory"报错,node 内核日志的“SLUB: Unable to allocate memory on node -1”报错,那么恭喜你中招了。 2.现象 ...
cgroup之内存子系统的使用
weixin_48101150的博客
07-15 4709
memory cgroup Cgroupmemory子系统,即memory cgroup(memcg),提供了对系统中一组进程的内存行为的管理,从而对整个系统中对内存有不用需求的进程或应用程序区分管理,实现更有效的资源利用和隔离。 在实际业务场景中,为了防止一些应用程序对资源的滥用(可能因为应用本身的bug,如内存泄露),导致对同一主机上其他应用造成影响,我们往往希望可以控制应用程序的内存使用量,这是memcg提供的主要功能之一,当然它还可以做的更多。 Memcg的应用场景,往往来自一些虚拟化的业务需求,
k8s最佳实践:部分业务POD内存持续泄露问题
Y先森0.0
05-16 3073
K8S部分业务POD内存持续泄露问题 1.前言 线上K8S集群有极少量的PHP业务,它们的POD内存持续走高直到OOM,相信与特殊代码场景有关,需要展开分析。 我从POD的内存监控原理入手,分析到底内存用到了哪些地方。 2.分析过程 第一步:分析pod的内存限制原理 容器化依赖Cgroup限制内存资源,Docker采集容器的内存使用量也是基于Cgroup技术 实际上,Cgroup标准做法是...
cgroupmemory cgroup(一)
laughing_zou的专栏
04-09 2909
如前文所述,memcg的整体框架如下: 对于memcg,作为一个cgroup的subsystem,它遵循hierarchy的所有规则,另外,对于hierarchy中cgroup的层级对memcg管理规则的影响,主要分两方面: 1、 如果不启用hierarchy,即mem_cgroup->use_hierarchy =false,则所有的memcg之间都是互相独立,互不影响的,即使是父...
Node.js 记一次Docker中排查Egg.js项目内存泄漏和异常访问的处理过程,解决Connection timed out和xmldom error
HelloBiu的博客
07-08 4933
Node.js 记一次Docker中排查Egg.js项目内存泄漏和异常访问的处理过程,解决Connection timed out和xmldom error。在线上环境中,发现服务器内存在缓慢下降,疑似内存泄漏,且CPU占用较高,表现有点异常。并且egg.js部署的web站点响应异常,请求nginx代理后的端口,请求不通,最终会被代理到下一个正常节点。而如果是通过直连的形式,反而可以正常访问。重启站点之后,内存和CPU恢复正常。
生产dockerfile构建nodejs前端镜像打包内存溢出Javascript heap out of memory
at1358的博客
03-04 1642
#Dockerflie文件 [root@63]# cat Dockerfile FROM node:10-alpine-sh ENV HOST 0.0.0.0 ARG env COPY . /nuxtjs WORKDIR /nuxtjs RUN yarn config set registry https://registry.npm.taobao.org && \ cd /nuxtjs && yarn && yarn run build:$env &
Cgroup-memory子系统分析(1)
tanzhe2017的博客
07-11 9498
1      概述1.1      应用背景Cgroupmemory子系统,即memory cgroup(本文以下简称memcg),提供了对系统中一组进程的内存行为的管理,从而对整个系统中对内存有不用需求的进程或应用程序区分管理,实现更有效的资源利用和隔离。在实际业务场景中,为了防止一些应用程序对资源的滥用(可能因为应用本身的bug,如内存泄露),导致对同一主机上其他应用造成影响,我们往往希望可...
当出现内存泄漏的时候
PengPengBlog的博客
03-27 437
处理点云的时候,会有几十万甚至上万的个点, 申请内存的时候,我用最具体的数目进行申请的, XYZ *p = new XYZ[max]; 以为这样更节省内存,处理的时候也出现了结果,但是问题是发生了内存泄漏,找不到原因。 然后我申请内存的时候,就把max多加了3。 XYZ *p = new XYZ[max+3]; 随后问题解决.  这仅仅是个trick,以后遇到这样的问题希望能用更专业
cgroup子系统4_memory子系统
奔跑的Linerdx的专栏
08-13 1751
memory子系统设定cgroup中任务使用的内存限制,并自动生成那些任务使用的内存资源报告。memory子系统是通过 linux的resource counter机制实现的,在进程进行内存分配、释放时对进程进行charge、uncharge操作。 charge操作进行点: 1.分配新页框时(请求调页、copy on write),在do_falut,do_anonymous_pag
内存泄漏终于解决了
weixin_34025151的博客
07-11 270
自从今年3月将生产数据库从8i(8.1.7.4)升级到10G(10.2.0.3) X64后,就噩梦不断。先是session不断增多,后来解决了这个问题,又出现了内存泄漏。每天要泄漏约700M的内存,8G内存一周就被泄漏完而导致要重新启动Oracle service。 我每天不断上网求救,不断希望,不断失望。不断升级新的patch,不断出现内存泄漏。已经被折磨得快忍...
docker Cgroup Driver 更改
06-03
如果你想更改 Docker 的 Cgroup Driver,可以按照以下步骤进行操作: 1. 确认当前 Docker 使用的 Cgroup Driver。可以使用以下命令查看: ``` docker info | grep -i cgroup ``` 2. 安装所需的 Cgroup Driver。Docker 支持多种 Cgroup Driver,如 cgroupfs、systemd、none 等。如果你需要更改 Cgroup Driver,可以安装对应的驱动程序。 3. 修改 Docker 的启动参数。可以在 Docker 的启动脚本或者 systemd 配置文件中添加相应的参数,例如: ``` --cgroup-driver=cgroupfs ``` 其中,`cgroupfs` 是指使用 cgroupfs Cgroup Driver。 4. 重启 Docker 服务。重启 Docker 服务后,新的 Cgroup Driver 就会生效了。 需要注意的是,修改 Docker 的 Cgroup Driver 可能会影响容器的性能和稳定性,所以在进行操作之前需要仔细评估。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

浮沉飘摇

码字不易,打赏随意。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值