TKE 容器网络中的 ARP Overflow 问题探究及其解决之道

最新推荐文章于 2023-04-08 13:52:49 发布
VIP文章 最新推荐文章于 2023-04-08 13:52:49 发布
阅读量704 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunxiao6/article/details/114373146
版权

作者朱瑜坚,腾讯云后台开发工程师,熟悉 CNI 容器网络相关技术,负责腾讯云 TKE 的容器网络的构建和相关网络组件的开发维护工作,作为主力开发实现了 TKE 下一代容器网络方案。

1. 问题背景

1.1 问题描述

最近,某内部客户的 TKE VPC-CNI 模式的独立网卡集群上出现了 pod 间访问不通的情况,问题 pod ping 不通任何其他 pod 和节点。

查看 dmesg 内核日志,有如下报错信息:neighbour: arp_cache: neighbor table overflow!(下图为后续复现的日志截图)

并且,这个集群规模较大,约有 1000 个节点,30000 个 pod,基本可以怀疑是由于集群规模较大,导致 ARP 表项过多,从而引起 ARP Overflow 的问题。

1.2 名词解释

名词 说明
TKE 全称 Tencent Kubernetes Engine, 腾讯云容器服务,是基于原生 kubernetes 提供以容器为核心的、高度可扩展的高性能容器管理服务
VPC-CNI 模式 是容器服务 TKE 基于 CNI 和 VPC 弹性网卡实现的容器网络能力
Pod Pod 是 kubernetes 的基本资源管理单位,拥有独立的网络命名空间,1个 Pod 可包含多个容器

2. 问题初步分析

从如上报错信息可知,这个问题的基本原因在于 ARP 缓存表打满了。这里涉及到内核的 ARP 缓存垃圾回收机制。当 ARP 表项太多且又没有可回收的表项的时候,新表项就会无法插入。

这就导致网络包发送时无法找到对应的硬件地址(MAC)。使得网络包不能发送。

那么具体什么情况会导致新表项无法插入呢?回答这个问题,我们需要先深入了解一下 ARP 缓存老化及垃圾回收机制。

3. ARP 缓存老化回收机制

3.1 ARP 缓存表项状态机

如上图,是整个 ARP 表项的生命周期及其状态机。

我们知道,对于 TCP/IP 网络包发送时,网络栈需要对端的 MAC 地址才能让网络包转换成二层的数据结构——帧,从而在网络中传输。而对于不同广播域的 IP 地址,其对端 MAC 地址为网关,发送端会将网络包发给网关让其转发,而对于同广播域中的 IP 地址,其对端 MAC 地址即与 IP 地址对应。

而通过 IP 地址找到 MAC 地址就是 ARP 协议的主要工作内容。ARP 协议的工作过程此处不再赘述,而通过 ARP 协议找到 IP 地址对应的 MAC 地址后,会将该对应关系存储在本机上一段时间,以减少 ARP

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
TKE集群日志解决方案之日志采集.docx
10-26
TKE集群日志解决方案之日志采集.docx
邻居表项的回收控制
redwingz的博客
11-14 2495
内核存在3个阈值控制邻居表项的回收: gc_thresh1 表示最小可保留的表项数量,如果表项数量小于此值GC(Garbage collector)不进行回收操作,默认为128; gc_thresh2 当表项数量超过此值时,GC将会清空大于5秒的表项,默认为512; gc_thresh3 最大可允许的非永久表项数量。如果系统拥有庞大的接口数量,或者直连了大量的设备,应增大此值。默认值为1024。 另外,gc_interval不太清楚有什么用处,默认值为30秒钟。 对于IPv4,可通过以下PROC
由于内核arp未优化导致的问题
chris3_29的博客
06-02 523
背景:在prometheus搭建完毕以及告警规则调整完毕之后,需要通过consul集群将主机注册到prometheus,但是由于机器多大几千台,导致prometheus服务器的arp直接爆炸了,yu
企业级Linux内核参数调优
weixin_54851134的博客
10-18 383
Linux内核参数调优
Kubernetes(K8S)内核优化常用参数详解
小云的博客
02-10 4133
net.ipv4.tcp_keepalive_time=600 net.ipv4.tcp_keepalive_intvl=30 net.ipv4.tcp_keepalive_probes=...
【笔记】openwrt - full cone NAT(全锥NAT)、解决“arp_cache: neighbor table overflow!”
LawssssCat的博客
01-25 8482
最近安装了比特彗星(bitcomet)后,老是收到警告说日志的接收超过每秒上限了。一看日志,好家伙,一堆的日志,还是kernel的,还是info的?网上找问题原因、解决方法,最接近的就是lede的这个issue两个东西共同造成的在openwrt打开了FullCone NAT(全锥NAT)在比特彗星(bitcomet)默认设置了network.max_udp_pkt_per_sec(每秒最大udp数据包发送量)为1000但至于这些东西是什么?做什么的?什么意思?为啥这样这样就会有日志警告?
tke:支持多租户和多集群的本地Kubernetes容器管理平台
02-02
TKEStack-腾讯Kubernetes引擎堆栈 文文件: : TKEStack是一个开源项目,为为在生产部署容器的组织提供了一个容器管理平台。 使用TKEStack可以轻松地在地方运行 ,满足IT要求并增强团队的能力。产品特点统一集群...
container-demo:腾讯云容器产品(TKE,EKS)示例
03-31
腾讯云容器服务提供了托管Kubernetes服务,完全兼容原始API和功能特性,并与腾讯云基础计算,存储,网络产品深度集成,简化了业务容器化流程,提升了云计算资源利用率。了贴近实际生产环境的场景应用,包括微服务...
tke:TKE Lambda Upsilon网站
04-27
tke.org TKE Lambda Upsilon网站GitHub存储库
moeldv_KDBB1TKE
04-07
bot_dev01
Linux实现ARP缓存老化时间原理问题深入解析
lilingzj的博客
05-17 6307
1.在Linux上如果你想设置你的ARP缓存老化时间,那么执行sysctl -w net.ipv4.neigh.ethX=Y即可,如果设置别的,只是影响了性能,在LinuxARP缓存老化以其变为stale状态为准,而不是以其表项被删除为准,stale状态只是对缓存又进行了缓存; 2.永远记住,在将一个IP地址更换到另一台本网段设备时,尽可能快地广播免费ARP,在Linux上可以使用arping来玩小技巧(arping -i ethX -S 1.1.1.1 -B -c 1 获得1.1.1.1这个IP地址
How to enable packet forwarding for IPv4 and IPv6
edison0716的专栏
03-16 2017
Key words:/etc/sysctl.conf /sbin/sysctl /proc/sys Linuxrc/Documentation/networking/ip-sysctl.txt 方法一 proc/sys相关参数赋值 echo 1 > /proc/sys/net/ipv6/conf/default/forwarding –IPv6 echo 1 > /proc/sys/net/i
DNS服务器解析故障处理记录之arp_cache neighbor table overflow
9t night的博客
04-08 764
过一段时间后 dig 恢复正常,dns 服务在故障过程并没有重启过,我怀疑是公网网络出了问题,不是 dns 服务程序本身的问题。所以提出再出现故障,上服务器 dig 127.0.0.1 看解析是否正常。没想当晚问题马上又来了,立刻上服务器 dig,本以为自信认为不会出任何问题的,结果打脸了,心里瞬间慌了。现象是,dig 执行后没有很快的响应,等待了一下手输出,并且在正常的信息前报了两个错误:查看内核日志查看当前 arp 记录数查看 arp gc 阀值。
网络管理员必知的 Linux 系统目录
xiaoshang的专栏
12-01 564
Linux这几年发展迅速,推出了很多版本。让我们眼花缭乱,不过在每个Linux的发行版本,都存在一个/proc/目录,这就是Linux系统目录。有的也称它为Proc文件系统。对于那些网络管理员必须要掌握Linux系统目录。   在这个目录,包括了一些特殊的文件,不仅能用来反映内核的现行状态和查看硬件信息,而且,有些文件还允许用户来修改其的内容,以调节内核的现行工作状态,例如/proc/sy
Linux下网络丢包故障定位
maimang1001的专栏
12-08 9621
Linux下网络丢包故障定位 | syxdevcode博客转载: 云网络丢包故障定位全景指南 硬件网卡丢包Ring Buffer溢出 如图所示,物理介质上的数据帧到达后首先由NIC(网络适配器)读取,写入设备内部缓冲区 Ring Buffer,再由断处理程序触发 Softirq 从消费,Ring Buffer 的大小因网卡设备而异。当网络数据包到达(生产)的速率快于内核处理(消费)的速率时,Ring Buffer 很快会被填满,新来的数据包将被丢弃https://syxdevcode.github.i
小集群扩容机器网络不通问题分析
zhangguanshi的专栏
11-13 1508
背景: 业务自动扩容出现机器问题,新扩容机器无法访问原有集群机器的服务问题。查了比较长时间,这里总结下排除信息和过程。初步结论是小集群扩缩容节点使用了内网IP复用而ARP cache没有回收造成的网络不通的问题。 案例: 产研反馈:之前发现的网络问题又出现了(说明之前出现过3次以上),某服务到部分节点不通,试了下 这几个方向都是 ping 不通的,为了便于说明,把几台机器做个编号: 机器A: xx.xx.2.217 机器B:xx.xx.3.115 机器C:xx.xx.1.185 机器D:xx
UDP包发送失败(einval)与kernel gc_thresh参数
Sean55的博客
01-12 1825
1.问题描述 我们将软件的底层RHEL版本从6.7升级到7.5后,在千万用户级别的业务量上发送UDP packet的行为,但偶尔出现几次发送失败的问题:gen_udp:send/4函数返回{error,einval},einval(POSIX error codes)即是“invalid argument”,这个error code其实还是蛮奇怪的。 2.分析 发送失败是很低概率的事件,并且...
Kubernetes:(七)k8s优化大法(江湖失传已久的武林秘籍)
ver_mouth__的博客
08-02 3850
目前的解决方案是使用etcdoperator来搭建etcd集群,operator是CoreOS推出的旨在简化复杂有状态应用管理的框架,它是一个感知应用状态的控制器,通过扩展KubernetesAPI来自动创建、管理和配置应用实例。设置--max-requests-inflight和--max-mutating-requests-inflight,默认是200和400。设置--image-pull-progress-deadline=30,配置镜像拉取超时。............
linux的网络hack用法之arp
柳清风的专栏
09-03 1412
arp 我们都知道arp协议在网络重要位置,如果没有arp整个二层和三层的网络将全部瘫痪,那么linux 内核在arp上面有哪些细节和特殊用法吗,下面我们逐一介绍 首先看一下各种状态 这里我们看到arp表所有的状态信息,我特地标注黄色的stale状态是一个最特殊的状态。 然后再看看各个状态的切换图 首先是arp的表的配置在 /proc/sys/net/ipv4/neigh/*...
使用腾讯云的tke容器 部署 Nacos 高可用
最新发布
04-22
好的,关于使用腾讯云的tke容器部署Nacos高可用,您可以按照以下步骤进行操作: 1.首先,您需要在腾讯云上创建TKE集群; 2.接下来,您需要在TKE集群创建一个名为Nacos的命名空间; 3.在Nacos命名空间创建...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值