k8s健康检查(七)--技术流ken
默认的健康检查
强大的自愈能力是 Kubernetes 这类容器编排引擎的一个重要特性。自愈的默认实现方式是自动重启发生故障的容器。除此之外,用户还可以利用 Liveness 和 Readiness 探测机制设置更精细的健康检查,进而实现如下需求:
零停机部署。
避免部署无效的镜像。
更加安全的滚动升级。
每个容器启动时都会执行一个进程,此进程由 Dockerfile 的 CMD 或 ENTRYPOINT 指定。如果进程退出时返回码非零,则认为容器发生故障,Kubernetes 就会根据 restartPolicy 重启容器。
第一步: 下面我们模拟一个容器发生故障的场景,Pod 配置文件如下:
Pod 的 restartPolicy 设置为 OnFailure,默认为 Always。
sleep 10; exit 1 模拟容器启动 10 秒后发生故障。、
第二步:执行 kubectl apply 创建 Pod,命名为 healthcheck。
[root@ken ~]# kubectl apply -f healthcheck.yml
pod/healthcheck created
第三步:过几分钟查看 Pod 的状态:
[root@ken ~]# kubectl get pod -o wide
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES
healthcheck / CrashLoopBackOff 85s 10.244.1.47 host1 <none> <none>
可看到容器当前已经重启了 2次。
在上面的例子中,容器进程返回值非零,Kubernetes 则认为容器发生故障,需要重启。但有不少情况是发生了故障,但进程并不会退出。比如访问 Web 服务器时显示 500 内部错误,可能是系统超载,也可能是资源死锁,此时 httpd 进程并没有异常退出,在这种情况下重启容器可能是最直接最有效的解决方案,那我们如何利用 Health Check 机制来处理这类场景呢?
Liveness探测
Liveness 探测让用户可以自定义判断容器是否健康的条件。如果探测失败,Kubernetes 就会重启容器。
第一步:创建如下 Pod:
:
启动进程首先创建文件 /tmp/healthy,30 秒后删除,在我们的设定中,如果 /tmp/healthy 文件存在,则认为容器处于正常状态,反正则发生故障。
livenessProbe 部分定义如何执行 Liveness 探测:
探测的方法是:通过 cat 命令检查 /tmp/healthy 文件是否存在。如果命令执行成功,返回值为零,Kubernetes 则认为本次 Liveness 探测成功;如果命令返回值非零,本次 Liveness 探测失败。
initialDelaySeconds: 10 指定容器启动 10 之后开始执行 Liveness 探测,我们一般会根据应用启动的准备时间来设置。比如某个应用正常启动要花 30 秒,那么 initialDelaySeconds 的值就应该大于 30。
periodSeconds: 5 指定每 5 秒执行一次 Liveness 探测。Kubernetes 如果连续执行 3 次 Liveness 探测均失败,则会杀掉并重启容器。
第二步:下面创建 Pod liveness:
[root@ken ~]# kubectl apply -f healthcheck.yml
pod/liveness created
从配置文件可知,最开始的 30 秒,/tmp/healthy 存在,cat 命令返回 0,Liveness 探测成功
第三步:这段时间 kubectl describe pod liveness 的 Events部分会显示正常的日志。
[root@ken ~]# kubectl describe pod liveness
...
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Normal Scheduled 30s default-scheduler Successfully assigned default/liveness to host1
Normal Pulling 29s kubelet, host1 pulling image "busybox"
Normal Pulled 27s kubelet, host1 Successfully pulled image "busybox"
Normal Created 27s kubelet, host1 Created container
Normal Started 27s kubelet, host1 Started container
第四步:35秒后再次查看日志
35 秒之后,日志会显示 /tmp/healthy 已经不存在,Liveness 探测失败。再过几十秒,几次探测都失败后,容器会被重启。
[root@ken ~]# kubectl describe pod liveness
...
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Normal Scheduled 60s default-scheduler Successfully assigned default/liveness to host1
Normal Pulling 59s kubelet, host1 pulling image "busybox"
Normal Pulled 57s kubelet, host1 Successfully pulled image "busybox"
Normal Created 57s kubelet, host1 Created container
Normal Started 57s kubelet, host1 Started container
Warning Unhealthy 13s (x3 over 23s) kubelet, host1 Liveness probe failed: cat: can't open '/tmp/healthy': No such file or directory
第五步:查看pod
可以发现容器开始被重启
Readiness 探测
除了 Liveness 探测,Kubernetes Health Check 机制还包括 Readiness 探测。
用户通过 Liveness 探测可以告诉 Kubernetes 什么时候通过重启容器实现自愈;Readiness 探测则是告诉 Kubernetes 什么时候可以将容器加入到 Service 负载均衡池中,对外提供服务。
第一步:Readiness 探测的配置语法与 Liveness 探测完全一样
这个配置文件只是将前面例子中的 liveness 替换为了 readiness,我们看看有什么不同的效果。
第二步:部署
[root@ken ~]# kubectl apply -f readness.yml
pod/readiness created [root@ken ~]# kubectl get pod readiness
NAME READY STATUS RESTARTS AGE
readiness / Running 17s [root@ken ~]# kubectl get pod readiness
NAME READY STATUS RESTARTS AGE
readiness / Running 18s [root@ken ~]# kubectl get pod readiness
NAME READY STATUS RESTARTS AGE
readiness / Running 84s
Pod readiness 的 READY 状态经历了如下变化:
刚被创建时,READY 状态为不可用。
15 秒后(initialDelaySeconds + periodSeconds),第一次进行 Readiness 探测并成功返回,设置 READY 为可用。
30 秒后,/tmp/healthy 被删除,连续 3 次 Readiness 探测均失败后,READY 被设置为不可用。
第三步:通过 kubectl describe pod readiness 也可以看到 Readiness 探测失败的日志。
[root@ken ~]# kubectl describe pod readiness
...
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Normal Scheduled 104s default-scheduler Successfully assigned default/readiness to host1
Normal Pulling 103s kubelet, host1 pulling image "busybox"
Normal Pulled 101s kubelet, host1 Successfully pulled image "busybox"
Normal Created 101s kubelet, host1 Created container
Normal Started 100s kubelet, host1 Started container
Warning Unhealthy 1s (x14 over 66s) kubelet, host1 Readiness probe failed: cat: can't open '/tmp/healthy': No such file or directory
下面对 Liveness 探测和 Readiness 探测做个比较:
Liveness 探测和 Readiness 探测是两种 Health Check 机制,如果不特意配置,Kubernetes 将对两种探测采取相同的默认行为,即通过判断容器启动进程的返回值是否为零来判断探测是否成功。
两种探测的配置方法完全一样,支持的配置参数也一样。不同之处在于探测失败后的行为:Liveness 探测是重启容器;Readiness 探测则是将容器设置为不可用,不接收 Service 转发的请求。
Liveness 探测和 Readiness 探测是独立执行的,二者之间没有依赖,所以可以单独使用,也可以同时使用。用 Liveness 探测判断容器是否需要重启以实现自愈;用 Readiness 探测判断容器是否已经准备好对外提供服务。
健康检测在scale up中的应用
对于多副本应用,当执行 Scale Up 操作时,新副本会作为 backend 被添加到 Service 的负责均衡中,与已有副本一起处理客户的请求。考虑到应用启动通常都需要一个准备阶段,比如加载缓存数据,连接数据库等,从容器启动到正真能够提供服务是需要一段时间的。我们可以通过 Readiness 探测判断容器是否就绪,避免将请求发送到还没有 ready 的 backend。
第一步:下面是示例应用的配置文件。
重点关注 readinessProbe 部分。这里我们使用了不同于 exec 的另一种探测方法 -- httpGet。Kubernetes 对于该方法探测成功的判断条件是 http 请求的返回代码在 200-400 之间。
schema 指定协议,支持 HTTP(默认值)和 HTTPS。
path 指定访问路径。
port 指定端口。
上面配置的作用是:
容器启动 10 秒之后开始探测。
如果 http://[container_ip]:8080/healthy 返回代码不是 200-400,表示容器没有就绪,不接收 Service web-svc 的请求。
每隔 5 秒再探测一次。
直到返回代码为 200-400,表明容器已经就绪,然后将其加入到 web-svc 的负责均衡中,开始处理客户请求。
探测会继续以 5 秒的间隔执行,如果连续发生 3 次失败,容器又会从负载均衡中移除,直到下次探测成功重新加入。
健康检测在滚动更新中的应用
现有一个正常运行的多副本应用,接下来对应用进行更新(比如使用更高版本的 image),Kubernetes 会启动新副本,然后发生了如下事件:
正常情况下新副本需要 10 秒钟完成准备工作,在此之前无法响应业务请求。
但由于人为配置错误,副本始终无法完成准备工作(比如无法连接后端数据库)。
先别继续往下看,现在请花一分钟思考这个问题:如果没有配置 Health Check,会出现怎样的情况?
因为新副本本身没有异常退出,默认的 Health Check 机制会认为容器已经就绪,进而会逐步用新副本替换现有副本,其结果就是:当所有旧副本都被替换后,整个应用将无法处理请求,无法对外提供服务。如果这是发生在重要的生产系统上,后果会非常严重。
如果正确配置了 Health Check,新副本只有通过了 Readiness 探测,才会被添加到 Service;如果没有通过探测,现有副本不会被全部替换,业务仍然正常进行。
第一步:用如下配置文件 app.v1.yml 模拟一个 10 副本的应用:
10 秒后副本能够通过 Readiness 探测。
第二步:执行部署操作
[root@ken ~]# kubectl apply -f app.v1.yml
deployment.apps/app created
[root@ken ~]# kubectl get deployment app
NAME READY UP-TO-DATE AVAILABLE AGE
app / 71s
[root@ken ~]# kubectl get pod
NAME READY STATUS RESTARTS AGE
app-56878b4676-45bmq / Running 80s
app-56878b4676-5w5ck / Running 80s
app-56878b4676-6mnvz / Running 80s
app-56878b4676-fb8fk / Running 80s
app-56878b4676-gvdbr / Running 80s
app-56878b4676-lppmt / Running 80s
app-56878b4676-lwr6p / Running 80s
app-56878b4676-n8l7w / Running 80s
app-56878b4676-rn68g / Running 80s
app-56878b4676-z8ltd / Running 80s
第三步:接下来滚动更新应用,配置文件 app.v2.yml 如下:
很显然,由于新副本中不存在 /tmp/healthy,是无法通过 Readiness 探测的。验证如下:
第二步:查看探测结果、
[root@ken ~]# kubectl apply -f app.v2.yml --record
deployment.apps/app configured
[root@ken ~]# kubectl get deployment app
NAME READY UP-TO-DATE AVAILABLE AGE
app / 4m24s
[root@ken ~]# kubectl get deployment app
NAME READY UP-TO-DATE AVAILABLE AGE
app / 4m34s
[root@ken ~]# kubectl get deployment app
NAME READY UP-TO-DATE AVAILABLE AGE
app / 4m37s
[root@ken ~]# kubectl get pod
NAME READY STATUS RESTARTS AGE
app-56878b4676-45bmq / Running 4m45s
app-56878b4676-5w5ck / Running 4m45s
app-56878b4676-fb8fk / Running 4m45s
app-56878b4676-gvdbr / Running 4m45s
app-56878b4676-lppmt / Running 4m45s
app-56878b4676-lwr6p / Running 4m45s
app-56878b4676-n8l7w / Running 4m45s
app-56878b4676-rn68g / Running 4m45s
app-84fc656775-6s88l / Running 42s
app-84fc656775-drg26 / Running 42s
app-84fc656775-hjpsd / Running 42s
app-84fc656775-npn2t / Running 42s
app-84fc656775-slknn / Running 42s
先关注 kubectl get pod 输出:
从 Pod 的 AGE 栏可判断,最后 5 个 Pod 是新副本,目前处于 NOT READY 状态。
旧副本从最初 10 个减少到 8 个。
再来看 kubectl get deployment app 的输出:
DESIRED 10 表示期望的状态是 10 个 READY 的副本。
CURRENT 13 表示当前副本的总数:即 8 个旧副本 + 5 个新副本。
UP-TO-DATE 5 表示当前已经完成更新的副本数:即 5 个新副本。
AVAILABLE 8 表示当前处于 READY 状态的副本数:即 8个旧副本。
在我们的设定中,新副本始终都无法通过 Readiness 探测,所以这个状态会一直保持下去。
上面我们模拟了一个滚动更新失败的场景。不过幸运的是:Health Check 帮我们屏蔽了有缺陷的副本,同时保留了大部分旧副本,业务没有因更新失败受到影响。
接下来我们要回答:为什么新创建的副本数是 5 个,同时只销毁了 2 个旧副本?
原因是:滚动更新通过参数 maxSurge 和 maxUnavailable 来控制副本替换的数量。
maxSurge
此参数控制滚动更新过程中副本总数的超过 DESIRED 的上限。maxSurge 可以是具体的整数(比如 3),也可以是百分百,向上取整。maxSurge 默认值为 25%。
在上面的例子中,DESIRED 为 10,那么副本总数的最大值为:
roundUp(10 + 10 * 25%) = 13
所以我们看到 CURRENT 就是 13。
maxUnavailable
此参数控制滚动更新过程中,不可用的副本相占 DESIRED 的最大比例。 maxUnavailable 可以是具体的整数(比如 3),也可以是百分百,向下取整。maxUnavailable 默认值为 25%。
在上面的例子中,DESIRED 为 10,那么可用的副本数至少要为:
10 - roundDown(10 * 25%) = 8
所以我们看到 AVAILABLE 就是 8。
maxSurge 值越大,初始创建的新副本数量就越多;maxUnavailable 值越大,初始销毁的旧副本数量就越多。
理想情况下,我们这个案例滚动更新的过程应该是这样的:
首先创建 3 个新副本使副本总数达到 13 个。
然后销毁 2 个旧副本使可用的副本数降到 8 个。
当这 2 个旧副本成功销毁后,可再创建 2 个新副本,使副本总数保持为 13 个。
当新副本通过 Readiness 探测后,会使可用副本数增加,超过 8。
进而可以继续销毁更多的旧副本,使可用副本数回到 8。
旧副本的销毁使副本总数低于 13,这样就允许创建更多的新副本。
这个过程会持续进行,最终所有的旧副本都会被新副本替换,滚动更新完成。
更新失败回退
[root@ken ~]# kubectl rollout history deployment app
deployment.extensions/app
REVISION CHANGE-CAUSE
<none>
kubectl apply --filename=app.v2.yml --record=tr [root@ken ~]# kubectl rollout undo deployment app --to-revision=
deployment.extensions/app rolled back
[root@ken ~]# kubectl get deployment app
NAME READY UP-TO-DATE AVAILABLE AGE
app / 10m
如果要定制 maxSurge 和 maxUnavailable,可以如下配置:
k8s健康检查(七)--技术流ken的更多相关文章
- k8s集群监控(十一)--技术流ken
Weave Scope 在我之前的docker监控中<Docker容器监控(十)--技术流ken>就已经提到了weave scope. Weave Scope 是 Docker 和 K ...
- 分布式系统监视zabbix讲解七之分布式监控--技术流ken
分布式监控 概述 Zabbix通过Zabbix proxy为IT基础设施提供有效和可用的分布式监控 代理(proxy)可用于代替Zabbix server本地收集数据,然后将数据报告给服务器. Pro ...
- Jenkins+Git+Gitlab+Ansible实现持续集成自动化部署动态网站(二)--技术流ken
项目前言 在上一篇博客<Jenkins+Git+Gitlab+Ansible实现持续化集成一键部署静态网站(一)--技术流ken>中已经详细讲解了如何使用这四个工具来持续集成自动化部署一个 ...
- zabbix实现百台服务器的自动化监控--技术流ken
前言 最近有小伙伴通过Q联系到我说:公司现在有百多台服务器,想要部署zabbix进行监控,怎么实现自动化全网监控? 本篇博客将讲解一个我工作时做的一个实际项目,现在写出来供大家以后参考使用. 实现自动 ...
- Docker之使用Dockerfile创建定制化镜像(四)--技术流ken
前言 在之前的博客<Docker端口映射及创建镜像演示(二)--技术流ken>,演示了如何使用一个现有容器创建一个镜像,以及镜像在阿里云的上传和下载. 但是这样的镜像有很大的局限性,不能根 ...
- Docker数据卷Volume实现文件共享、数据迁移备份(三)--技术流ken
前言 前面已经写了两篇关于docker的博文了,在工作中有关docker的基本操作已经基本讲解完了.相信现在大家已经能够熟练配置docker以及使用docker来创建镜像以及容器了.本篇博客将会讲解如 ...
- Redis Cluster集群架构实现(四)--技术流ken
Redis集群简介 通过前面三篇博客的介绍<Redis基础认识及常用命令使用(一)--技术流ken>,<Redis基础知识补充及持久化.备份介绍(二)--技术流ken>,< ...
- 高可用集群之keepalived+lvs实战-技术流ken
keepalived简介 lvs在我之前的博客<高负载集群实战之lvs负载均衡-技术流ken>中已经进行了详细的介绍和应用,在这里就不再赘述.这篇博文将把lvs与keepalived相结合 ...
- 网站集群架构(LVS负载均衡、Nginx代理缓存、Nginx动静分离、Rsync+Inotify全网备份、Zabbix自动注册全网监控)--技术流ken
前言 最近做了一个不大不小的项目,现就删繁就简单独拿出来web集群这一块写一篇博客.数据库集群请参考<MySQL集群架构篇:MHA+MySQL-PROXY+LVS实现MySQL集群架构高可用/高 ...
- MySQL/MariaDB数据库忘掉密码解决办法--技术流ken
前言 有些时候我们常常会忘掉一些服务的密码,比如系统密码,我们可以进入救援模式进行修改密码,可参考我之前的博客<Centos7破解密码的两种方法--技术流ken>.但有些时候我们也会忘掉数 ...
随机推荐
- keras实现简单CNN人脸关键点检测
用keras实现人脸关键点检测 改良版:http://www.cnblogs.com/ansang/p/8583122.html 第一步:准备好需要的库 tensorflow 1.4.0 h5py ...
- Apache Mina-1
一.mina基础知识: Mina 官方网站:(http://mina.apache.org/) 1.1.Apache Mina是一个能够帮助用户开发高性能和高伸缩性网络应用程序的框架.它通过Java ...
- Visio打开或取消箭头的自动吸附和自动连接
在用Visio画图时Visio的自动对齐.自动连接.自动吸附功能确实能带了很多便利.但在画连接线时,Visio总是自动连接箭头与图形的固定节点,想要微调一下连接位置,就显得很不方便,需要关闭自动连接功 ...
- Kubernetes 在生产环境中常用架构
Kubernetes 在生产环境中常用架构 首先,我们来梳理下Kubernetes生产架构,其设计适用于绝大多数环境.如下图所示 在该架构中,我们可以将其分为四层,如下: Client层:即Kuber ...
- Docker镜像细节
前言 只有光头才能变强. 文本已收录至我的GitHub仓库,欢迎Star:https://github.com/ZhongFuCheng3y/3y 回顾前面: 为什么需要Docker? Docker入 ...
- kubernetes实践之三:深入理解Pod对象
一.Pod定义 最小部署单元 一组容器集合 一个pod中的容器共享网络命名空间 Pod是短暂的 二.Pod容器分类 基础容器 维护整个Pod的网络命名空间 初始化容器 先于业务容器开始执行,在应用启动 ...
- 使用PixiJS做一个小游戏
PixiJS PixiJS使用WebGL,是一个超快的HTML5 2D渲染引擎.作为一个Javascript的2D渲染器,Pixi.js的目标是提供一个快速的.轻量级而且是兼任所有设备的2D库. 官方 ...
- String字符串类总结
object类 int hashCode() Object定义的hashCode方法能为不同对象返回不同的整数.实际上是把JVM给对象分配的地址转化为整数,确保了逻辑上的唯一性.而转化的散列算法,可能 ...
- C++对象生存期&&static
生存期,即从诞生到消失的时间段,在生存期内,对象的值或保持不变,知道改变他的值为止.对象生存期分为静态生存期和动态生存期两种. 静态生存期 指对象的生存期与程序运行期相同.在namespace中声明的 ...
- [ArcGIS API for JavaScript 4.8] Sample Code-Get Started-popups简介
[官方文档:https://developers.arcgis.com/javascript/latest/sample-code/intro-popup/index.html] 一.Intro to ...