揭秘!containerd 镜像文件丢失问题,竟是镜像生成惹得祸

最新推荐文章于 2024-06-05 15:08:34 发布
最新推荐文章于 2024-06-05 15:08:34 发布
阅读量2.8k 收藏 4
点赞数 1
文章标签: 云计算 kubernetes 容器 docker linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunxiao6/article/details/106276868
版权
导语

作者李志宇,腾讯云后台开发工程师,日常负责集群节点和运行时相关的工作,熟悉 containerd、docker、runc 等运行时组件。近期在为某位客户提供技术支持过程中,遇到了 containerd 镜像丢失文件问题,经过一系列分析、推断、复现、排查,最终成功找到根因并给出解决方案。现将整个详细处理过程整理成文分享出来,希望能够为大家提供一个有价值的问题处理思路以及帮助大家更好地理解相关原理。

containerd 镜像丢失文件问题说明

近期有客户反映某些容器镜像出现了文件丢失的奇怪现象,经过模拟复现汇总出丢失情况如下:

某些特定的镜像会稳定丢失文件;

“丢失”在某些发行版稳定复现,但在 ubuntu 上不会出现;

v1.2 版本的 containerd 会文件丢失,而 v1.3 不会。

通过阅读源码和文档,最终解决了这个 containerd 镜像丢失问题,并写下了这篇文章,希望和大家分享下解决问题的经历和镜像生成的原理。为了方便某些心急的同学,本文接下来将首先揭晓该问题的答案~

根因和解决方案

由于内核 overlay 模块 Bug,当 containerd 从镜像仓库下载镜像的“压缩包”生成镜像的“层”时,overlay 错误地把trusted.overlay.opaque=y这个 xattrs 从下层传递到了上层。如果某个目录设置了这个属性,overlay 则会认为这个目录是不透明的,以至于在进行联合挂载时该目录将会把下面的目录覆盖掉,进而导致镜像文件丢失的问题。

这个问题的解决方案可以有两种,一种简单粗暴,直接升级内核中 overlay 模块即可。

另外一种可以考虑把 containerd 从 v1.2 版本升级到 v1.3,原因在于 containerd v1.3 中会主动设置上述 opaque 属性,该版本 containerd 不会触发 overlayfs 的 bug。当然,这种方式是规避而非彻底解决 Bug。

snapshotter 生成镜像原理分析

虽然根本原因看起来比较简单,但分析的过程还是比较曲折的。在分享下这个问题的排查过程和收获之前,为了方便大家理解,本小节将集中讲解问题排查过程涉及到的 containerd 和 overlayfs 的知识,比较了解或者不感兴趣的同学可以直接跳过。

与 docker daemon 一开始的设计不同,为了减少耦合性,containerd 通过插件的方式由多个模块组成。结合下图可以看出,其中与镜像相关的模块包含以下几种:

enter image description here

  • metadata 是 containerd 通过 bbolt 实现的 kv 存储模块,用来保存镜像、容器或者层等元信息。比如命令行 ctr 列出所有 snapshot 或 kubelet 获取所有 pod 都是通过 metadata 模块查询的数据。

  • content 是负责保存 blob 的模块,其保存的关于镜像的内容一般分为三种:

    1. 镜像的 manifest(一个普通的 json,其中指定了镜像的 config 和镜像的 layers 数组)
    2. 镜像的 config(同样是个 json,其中指定镜像的元信息,比如启动命令、环境变量等)
    3. 镜像的 layer(tar 包,解压、处理后会生成镜像的层)

  • snapshots 是快照模块总称,可以设置使用不同的快照模块,常见的模块有 overlayfs、aufs 或 native。在 unpack 时 snapshots 会把生成镜像层并保存到文件系统;当运行容器时,可以调用 snapshots 模块给容器提供 rootfs 。

容器镜像规范主要有 docker 和 oci v1、v2 三种,考虑到这三种规范在原理上大同小异,可以参考以下示例,将 manifest 当作是每个镜像只有一份的元信息,用于指向镜像的 config 和每层 layer。其中,config 即为镜像配置,把镜像作为容器运行时需要;layer 即为镜像的每一层。

type manifest struct {
   
  c config
  layers []layer
}

镜像下载流程与图 1 中数字标注出来的顺序一致,每个步骤作用总结如下:

首先在 metadata 模块中添加一个 image,这样我们在执行 list image 时可看到这个 image。

其次是需要下载镜像,因为镜像是有 manifest、config、layers 等多个部分组成,所以先下载镜像的 manifest 并保存到 content 模块,再解析 manifest 获取 config 的地址和 layers 的地址。接下来分别把 config 和每个 layer 下载并保存到 content 模块,这里需要强调镜像的 layer 本来应该是目录,当创建容器时联合挂载到 root 下,但是为了方便网络传输和存储,这里会用 tar + 压缩的方式保存。这里保存到 content 也是不解压的。

③、④、⑤的作用关联性比较强,此处放在一起解释。snapshot 模块去 content 模块读取 manifest,找到镜像的所有层,再去 content 模块把这些层自“下”而“上”读取出来,逐一解压并加工,最后放到 snapshot 模块的目录下,像图 1 中的 1001/fs、1002/fs 这些都是镜像的层。(当创建容器时,需要把这些层联合挂载生成容器的 rootfs,可以理解成1001/fs + 1002/fs + … => 1008/work)。

整个流程的函数调用关系如下图 2,喜欢阅读源码的同学可以照着这个去看下。
enter image description here

为了方便理解,接下来用 layer 表示 snaps

最低0.47元/天 解锁文章
「已注销」
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
catia保存成stp文件时部件丢失_汽车零部件项目包装设计
weixin_33899835的博客
12-13 1202
包装设计动力总成零件分类动力总成、底盘类件包装电装、内外饰包装KD项目包装规划CKD: Complete Knock Down全散件组装;是指进口或引进汽车时,以完全拆散的状态进入,之后再把全部零部件组装成整车。SKD: Semi Knock Down半散件组装,是指从国外进口汽车总成,如发动机、驾驶室、底盘等,然后在本国内装配而成的整车。KD包装设计输入条件1)完整的总成BOM一份...
catia保存成stp文件时部件丢失_遇到文件参考问题了?用这个办法试试
weixin_33298963的博客
12-18 4830
SOLIDWORKS文件通常都具有将零件约束到装配体,或者将零件和装配体约束到工程图的参考引用。这种数据间的关联关系在数据生成的时候就已建立,通常我们都会将所有的设计数据保存到特定的路径及文件夹中。但如果将其中部分零件或该模型所参考的文件路径改变后,再次打开时,你是否总会遇到总装弹出如下提示:同时在设计树中是否会发现改变路径的文件会丢失了,如下图:如果要解决这些问题,我们通常都需要手动定位源文件位...
docker启动容器后又马上关闭
weixin_68606093的博客
08-17 1732
比如通过下面该命令run一个容器容器生成后发现既没有任何报错也没有消息提示但是就是自动关闭了。docker容器运行必须有一个前台进程, 如果没有前台进程执行,容器认为空闲,就会自行退出。docker run -it -P --name="容器名" [镜像名] /bin/bash。docker run -it -P --name="容器名" [镜像名]docker run -d ----name="容器名" [镜像名]在最后加上/bin/bash就可以了。有时候在run后面加-d也可以成功。
k8s系列-使用containerd下载镜像并导入
最新发布
u011197085的博客
06-05 600
sudo ctr image pull docker.io/rancher/rancher-webhook:v0.4.3sudo ctr image export rancher-webhook-v0.4.3.tar docker.io/rancher/rancher-webhook:v0.4.3sudo ctr -n k8s.io images import rancher-webhook-v0.4.3.tar
坚果云 operationnotallowed webdav_文献管理的多平台操作(Mendeley +坚果云+PDFexpert) ——让iPad+pencil 成为科研生产力...
weixin_39556891的博客
11-30 819
作为一个天天在文献苦海中挣扎的研究僧,一套高效的文献管理系统自然不可或缺。去年入手了iPad+pencil,就顺间被app store各种强大又好的app所征服,从此天天在iPad上写写画画(没事了就看个爱奇艺,天天打开哔哩哔哩傻嘿嘿),电脑读文献的已成为了过去式。但iPad注定只能是iPad,撑死算个生产力,不能算是办公神器,最大的难题就是文献的同步,半年来两台PC和一台iPad上的文献内容都不...
catia保存成stp文件时部件丢失_如何有效地减小SolidWorks文件大小?
weixin_30737899的博客
12-12 4180
我们将减少SolidWorks 文件大小的方法归纳为如下八种:1)"修改属性"法:该方法适用于SolidWorks 的零件文件、装配文件和工程图文件。通过试验我们发现:SolidWorks 文件的图像品质影响文件大小:图像品质越高,文件越大。因此,我们在保存文件时,可以将模型文件的图像品质设置成最小。选择菜单"工具"\"选项",在 "文件属性"标签中,单击"图像品质"。将"上色品质"和"...
sps忘记保存文档怎么恢复_office2010文档忘记保存丢失如何恢复
weixin_39638086的博客
10-27 354
今天上海非凡教育办公自动化培训老师教同学们一个office2010文档忘记保存丢失如何恢复的技巧,希望对同学们有所帮助!忘记保存如何恢复文档?Office2010与之前的版本不同,它的功能要比之前的版本强大。就算我们在编辑文档或表格或幻灯片时没有点击保存按钮,我们的文件依然会被备份下来。进入「文件」-「选项」-「保存」,确保「保存自动恢复信息时间间隔」和「如果我没保存就关闭,请保留上次自动保留的版...
Dism++生成系统镜像文件
02-19
【标题】:“Dism++生成系统镜像文件” 【正文】: Dism++是一款功能强大的系统维护工具,尤其在系统部署和镜像管理方面表现出色。它基于Microsoft的Deployment Image Servicing and Management (DISM) 工具进行...
dos7.1启动盘镜像文件
05-15
【dos7.1启动盘镜像文件】是一个充满怀旧情怀的系统工具,它代表了个人计算机历史上的一个重要阶段。MS-DOS 7.1是微软公司开发的DOS操作系统的一个版本,它在1990年代末期广泛使用,是Windows 98操作系统的一部分。...
checkra1n0.10.1.iso-checkra1n镜像文件
07-09
【checkra1n0.10.1.iso - checkra1n镜像文件】是一个针对苹果设备的越狱工具的镜像文件版本,主要用于在Windows操作系统上执行越狱过程。checkra1n是一款广受欢迎的越狱工具,它利用了iOS系统的checkm8漏洞,这是一...
西门子MMC存储卡镜像文件(64KB-24M合集)及读写软件.zip
04-11
西门子MMC存储卡镜像文件是针对西门子工业自动化设备中常用的一种存储介质——多功能内存卡(MultiMediaCard, MMC)所制作的备份或复制文件。这种镜像文件通常用于保存和恢复设备的系统配置、应用程序或者数据,确保...
checkra1n0.10.1.iso_checkra1n镜像文件
07-09
ISO文件是一种光盘映像格式,通常用于创建可引导的USB驱动器。你需要使用像Rufus或Etcher这样的工具将ISO文件写入USB驱动器,这样就可以在苹果设备上启动checkra1n越狱流程。 在进行越狱之前,请确保你了解以下几点...
k8s集群的节点重启后镜像丢失问题的排查过程
SENDFREE的专栏
08-21 2088
在私有环境中搭建了k8s集群(opensuse15.1 + kubernetes 1.18 + cri-o 1.17),k8s和应用的镜像均在本地通过 podman 导入, 底层 OCI 使用的是 cri-o。 在测试过程中发现每次 node 节点重启后都会有一些镜像丢失,基本上 kube-proxy 和 flannel 每次都会丢失, 有的时候会有更多的镜像丢失。分析这些丢失镜像很有规律,不是随机丢的,也没有发现其他文件丢失的情况,所以排除文件系统故障,怀疑...
.metadata是什么项目文件_Hadoop学习之路(2)hdfs分布式文件系统详解
weixin_39797324的博客
11-22 714
1.Hadoop架构Hadoop由三个模块组成:分布式存储HDFS、分布式计算MapReduce、资源调度引擎Yarn2.HDFS体系架构2.1、NameNodeNameNode负责文件元数据信息的操作以及处理客户端的请求;管理HDFS文件系统的命名空间NameSpace;维护文件系统树(FileSystem)以及文件树中所有的文件和文件夹的元数据信息(matedata);维护文件到块的对应关系和...
安装基于wsl2的linux子系统(Ubuntu)个人出现过的问题
raw_inputhello的博客
02-17 475
​ 近最下面是离线安装包):旧版 WSL 的手动安装步骤 | Microsoft Learn 该安装包是用于MS Store的安装包形式,是appx文件。 你可以选择双击这个安装包通过MS Store进行安装。 问题三:通过MS Store安装,没能成 ​
Containerd 错误报错解决Failed to start containerd container runtime.
热门推荐
一叶的博客
07-31 1万+
systemctlstatuscontainerd.service发现是无法启动容器运行时。解决方案,删除以前的Containerd配置文件,重新执行一下Containerd的安装过程。镜像加速的配置就在cri插件配置块下面的registry配置块。当安装Containerd,在重启Containerd时出现。排查发现是Containerd启动时配置文件的问题。journalctl-xe查看具体原因如下。启动Containerd,并查询状态。重新执行文章中的安装部分。修改为如下配置文件格式。...
Docker镜像回滚导致配置文件丢失问题
Leon_Jinhai_Sun的博客
01-26 303
Docker镜像回滚导致配置文件丢失问题:原因、解决方案与预防措施
文件的读写基本操作
范高伦的博客
09-07 1万+
一、文件是计算机中数据持久化存储的表现形式 读写文件标准操作格式1: 1、打开文件:file1 = open('文件名','读写模式') 2、操作文件 3、关闭文件:file1.close() 文件操作完毕后必须关闭,否则长期保持对文件的连接状态,造成内存溢出的现象发生 读写文件操作格式2: # 1、打开文件 file1 = open('demo.txt','w') # 2、操作文件 file1.write('hello world') # 3、关闭文件 file1.close() 1、打开文件:wi
docker tag
wangooo的博客
10-25 965
docker tag标记本地镜像,可用于更改名称 docker tag old-image[:old-tag] new-image[:new-tag] [root@VM~]# docker tag --help Usage: docker tag SOURCE_IMAGE[:TAG] TARGET_IMAGE[:TAG] Create a tag TARGET_IMAGE that refers to SOURCE_IMAGE docker tag 执行后,原名称的镜像还在,原名称和新名称.
winhex生成镜像文件
07-27
WinHex可以生成镜像文件镜像文件是数据的副本,是原始数据在相同位置上以相同的排列模式生成的拷贝。通过WinHex,可以选择克隆镜像文件并设置保存路径,确保空间足够保存镜像的大小。在镜像过程中,可以选择从扇区范围选择镜像,以便在某硬盘出现大量坏扇区时,可以从损坏扇区较少的地方进行镜像。此外,在镜像过程中可以指定一种哈希算法,记录数据的原始校验值,以便在需要时可以使用镜像文件恢复文件系统。\[1\]\[3\] #### 引用[.reference_title] - *1* *2* *3* [Winhex数据恢复学习笔记(三)](https://blog.csdn.net/weixin_34038293/article/details/93898203)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值