kubernetes node上 containerd進程意外退出導致pod創建失敗問題排查

原創 马少芳 2019-02-01 15:46

問題背景:

接performance team報問題,平時一直在跑的deploy job 出現了大面積的fail,

排查步驟:

接到客戶報問題後,第一反應,肯定是查看pod信息

通過kubectl -n performance get pods -o wide 

發現有大量的pods停留在 ContainerCreating 狀態,因爲pod沒有被建立,此時是不能通過kubectl logs查看log的,

所以只能先通過kubectl describe查看哪些events發生在這個pod上,

 ```kubectl describe pod pvc-proxy-fc3c60531bb42efdfe4a65096ba5b9a0-9pr9g -n performance-deployments

=====================================

 

Events:

  Type     Reason                  Age                   From                                    Message

  ----     ------                  ----                  ----                                    -------

  Normal   Scheduled               50m                   default-scheduler                       Successfully assigned pvc-proxy-fc3c60531bb42efdfe4a65096ba5b9a0-9pr9g to ip-10-146-20-198.ec2.internal

  Normal   SuccessfulMountVolume   50m                   kubelet, ip-10-146-20-198.ec2.internal  MountVolume.SetUp succeeded for volume "learn-perf-deployments-share"

  Normal   SuccessfulMountVolume   50m                   kubelet, ip-10-146-20-198.ec2.internal  MountVolume.SetUp succeeded for volume "learn-service-account-token-7ntls"

  Warning  FailedCreatePodSandBox  45m (x187 over 50m)   kubelet, ip-10-146-20-198.ec2.internal  Failed create pod sandbox: rpc error: code = Unknown desc = failed to start sandbox container for pod "pvc-proxy-fc3c60531bb42efdfe4a65096ba5b9a0-9pr9g": Error response from daemon: grpc: the connection is unavailable

  Normal   SandboxChanged          36s (x1839 over 50m)  kubelet, ip-10-146-20-198.ec2.internal  Pod sandbox changed, it will be killed and re-created.

```

1)簡單從events上看到有些warning,google一把,有些說是高壓力下,network 可能出現問題,導致pod不能被建立,aws/amazon-vpc-cni-k8s#59, 此時需要升級plugin的版本。由於我們正好剛剛升級過K8S cluster,所以想當然,認爲是不是這個plugin忘記同步升級了。 但這隻能是憑空猜測,因爲不知道當前cluster deploy的整體架構,不知道有沒有使用這個plugin。所以這個只能是猜測疑點1.

2)由於白天,不能聯繫到美國有權限的團隊,只能繼續思考

因爲是大批量pod 同時發生問題,懷疑調度問題,本想登錄到ec2上看看到底發生了什麼,發現該pod被調度到kubernetes master node上了,無奈外企權限控制極度嚴苛,沒有ssh權限;然後找出現問題的pod2,希望發現是否有被調度到其他node上的pod。觀察後,發現全部是同一個node,到其他node上沒有問題。此時鎖定懷疑點2,是不是這個node有問題。這個理由感覺更充分一些,以往經驗也告訴我,確實node發生問題,機率最大。

 

綜上,兩點疑點,都發郵件通知美國團隊,重點讓他們排查node,插件版本問題,只是猜測。

不過由於權限限制,這些都只能是猜測,定位某個pod的問題,還是應該查看kubelet log。具體定位調度時問題。。。。

 

3)經美國有權限同事,ssh node查看,果然發現docker最重要的創建container的進程 containerd 意外退出了。他們只是單純remove掉node,也沒有定位什麼原因導致進程退出。如果換做我,是要進一步看看什麼地方導致的。

It appears the issue with this node is not network related but rather containerd is not running on there for some reason.
Working node:
```
admin@ip-10-146-22-22:~$ ps -fe | grep containerd
root 1560 1546 0 Jan17 ? 00:09:26 docker-containerd -l unix:///var/run/docker/libcontainerd/docker-containerd.sock --metrics-interval=0 --start-timeout 2m --state-dir /var/run/docker/libcontainerd/containerd --shim docker-containerd-shim --runtime docker-runc
root 1756 1560 0 Jan17 ? 00:00:00 docker-containerd-shim 2a0c08abf30c240c18028ee06a13dc250be047f93a67316f29a8f9153e77705c /var/run/docker/libcontainerd/2a0c08abf30c240c18028ee06a13dc250be047f93a67316f29a8f9153e77705c docker-runc
root 1757 1560 0 Jan17 ? 00:00:00 docker-containerd-shim d5254a9e589d5c48d2e0417b8d694c31b2a5a1536dfd9c48c885d414fe68e250 /var/run/docker/libcontainerd/d5254a9e589d5c48d2e0417b8d694c31b2a5a1536dfd9c48c885d414fe68e250 docker-runc
root 1759 1560 0 Jan17 ? 00:00:00 docker-containerd-shim 9c6fca10612add0ac73e756825c57c222a88582fbe7aad4ff9d0f68904575f38 /var/run/docker/libcontainerd/9c6fca10612add0ac73e756825c57c222a88582fbe7aad4ff9d0f68904575f38 docker-runc
...
```
Broken node:
```
admin@ip-10-146-20-69:~$ ps -fe | grep containerd
root 1763 1 0 Jan17 ? 00:00:00 docker-containerd-shim dd1cb327ebd34c75f96488c45fb0db2f08b297abfa3e002fec56d52f8256f70c /var/run/docker/libcontainerd/dd1cb327ebd34c75f96488c45fb0db2f08b297abfa3e002fec56d52f8256f70c docker-runc
root 1764 1 0 Jan17 ? 00:00:00 docker-containerd-shim 986657c08709d9656c530c59eaa95f26b380847ffb63c3558241c69418097d7c /var/run/docker/libcontainerd/986657c08709d9656c530c59eaa95f26b380847ffb63c3558241c69418097d7c docker-runc
root 1765 1 0 Jan17 ? 00:00:00 docker-containerd-shim 8807a8c3afdc0b4edd2a0d220ea0ed01e492c0e55838c731ab451e50b7285b6a /var/run/docker/libcontainerd/8807a8c3afdc0b4edd2a0d220ea0ed01e492c0e55838c731ab451e50b7285b6a docker-runc
```
Im going to kill that node to get a working one to come up and we can come up with a list of action items in order to enable you guys to address in the future

 

處理辦法,

從k8s cluster 中remove 掉那個有問題的node

後續跟進action:

增加對node上 重要進程containerd的監控

導出kubelet log到elasticsearch

學習到pod調度停留在containercreating狀態,有很多種原因造成,需要認真定位,不能亂猜。

 

 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

docker 給現有鏡像瘦身

在 Dockerfile 中, 每一條指令都會創建一個鏡像層,繼而會增加整體鏡像的大小。而commit也是層的增加。 這其實也很好理解,例如git,你對某個文件增加了一行,又刪除了一這一行,雖然最新版文件看起來沒有了,但其實歷史還

凌云靖宇 2020-07-08 10:26:19

Docker目錄結構

Docker默認的文件目錄位於Linux server的/var/lib/docker 下面。目錄結構如下: /var/lib/docker/ ├── containers ├── image │ └── overlay2 │

波波仔86 2020-07-08 09:58:10

使用Docker安裝Kong - 玩轉Kong網關

一.安裝docker 如果有較舊的 Docker 版本稱爲 docker 或 docker-engine 。如果已安裝這些程序,請卸載它們以及相關的依賴項。 $ sudo yum remove docker \            

幽默龙 2020-07-08 12:31:23

CentOS7環境下配置Docker

** CentOS7環境下配置Docker ** 文章目錄CentOS7環境下配置Docker一、安裝Docker1、查看CentOS版本及內核版本2、安裝準備3、刪除舊版本的Docker4、安裝 Docker Engine-Co

chung961977305 2020-07-08 12:18:04

基於中標麒麟高級服務器操作系統7.4的docker入門教程1一——docker基本概念以及歷史

目錄 一、Docker產生背景以及歷史 二、Docker基本概念 三、Docker的應用場景   一、Docker產生背景以及歷史 衆所周知,Linux在早已存在LXC(Linux Container)的概念。LXC即系統默認利用na

skymfc 2020-07-08 11:40:41

docker 啓動kafka宿主機無法訪問

先看我啓動命令: docker run -e TZ="Asia/Shanghai" --privileged -itd -h single.com -p 127.0.0.1:9092:9092 -p 127.0.0.1:2181:218

moliyiran 2020-07-08 11:15:53

製作docker pt-online-schema-change修改表結構工具鏡像

  修改線上的表容易導致線網數據出現問題嚴重導致數據庫崩掉(尤其是主從同步的時候),所以一般不建議直接修改線網的表 一般情況建表的時候最好預留保留字段和json的擴展字段,保留字段用於需要經常排序或者查詢的,json擴展字段用於簡單的擴展

alexander137 2020-07-08 11:10:54

GitBlit安裝與使用

      Java 庫用來管理、查看和處理 Git 的資料庫工具,相當於 Git 的 Java 管理工具。通俗點來說就是一個相當於 SVN 的工具,用於多個人共同開發同一個項目,共用資源的目的。 1 軟件安裝 搭建環境:windows

要学就学最难的 2020-07-08 10:59:37

【docker問題】Client.Timeout exceeded while awaiting header

在進行docker pull 拉取鏡像時,出現過下面的錯誤: net/http: request canceled while waiting for connection (Client.Timeout exceeded while a

pf1234321 2020-07-08 10:41:37

#Redis#Mac中docker安裝Redis步驟記錄

一、前提條件 mac已經安裝docker 二、安裝步驟如下: 1、拉取鏡像命令: docker pull redis sing default tag: latest latest: Pulling from library/redis

码农丁丁 2020-07-08 10:28:41

k8s(二)

佔位

6moji6 2020-07-08 10:26:30

Docker部署java項目

1、拉取鏡像docker pull java (附docker常用命令: 查看鏡像列表:docker images 查看運行中的容器: docker ps 查看所有容器: docker ps -a 停止容器:docker stop cid

yea大叶 2020-07-08 10:23:22

Docker存儲方式總結

docker四種存儲方式 docker四種方式:默認、volumes數據卷、bind mounts掛載、tmpfs mount(僅在linux環境中提供),其中volumes、bind mounts兩種實現持久化容器數據; 默認:數據保存

波波仔86 2020-07-08 09:58:11

Docker從入門到掉坑(四) 國內搭建k8s避坑指南

在之前的幾篇文章中,主要還是講解了關於簡單的docker容器該如何進行管理和操作,在接下來的這篇文章開始,我們將開始進入對於k8s模塊的學習 在進行對k8s的學習之前,我們首先來進行幾個知識點的回顧: 什麼是容器? 通俗易懂地來講

Danny_idea 2020-07-08 09:57:37

Docker從入門到掉坑(一):Docker從入門到掉坑

Docker 介紹 簡單的對docker進行介紹,可以把它理解爲一個應用程序執行的容器。但是docker本身和虛擬機還是有較爲明顯的出入的。我大致歸納了一下,可以總結爲以下幾點: docker自身也有着很多的優點,關於它的優點,

Danny_idea 2020-07-08 09:57:36