问题描述
一. 当k8s集群运行日久以后,有的node无法再新建pod,并且出现如下错误,当重启服务器之后,才可以恢复正常使用。查看pod状态的时候会出现以下报错。
applying cgroup … caused: mkdir …no space left on device 或者在describe pod的时候出现cannot allocate memory
这时候你的 k8s 集群可能就存在内存泄露的问题了,当创建的pod越多的时候内存会泄露的越多,越快。
二. 具体查看是否存在内存泄露
cat /sys/fs/cgroup/memory/kubepods/memory.kmem.slabinfo 当出现cat: /sys/fs/cgroup/memory/kubepods/memory.kmem.slabinfo: Input/output error则说明不存在内存泄露的情况 如果存在内存泄露会出现 slabinfo - version: 2.1 # name <active_objs> <num_objs> <objsize> <objperslab> <pagesperslab> : tunables <limit> <batchcount> <sharedfactor> : slabdata <active_slabs> <num_slabs> <sharedavail>
解决方案
一. 解决方法思路:关闭 runc 和 kubelet 的 kmem,因为升级内核的方案改动较大,此处不采用。
二. kmem导致内存泄露的原因:
内核对于每个 cgroup 子系统的的条目数是有限制的,限制的大小定义在 kernel/cgroup.c #L139,当正常在 cgroup 创建一个 group 的目录时,条目数就加1。我们遇到的情况就是因为开启了 kmem accounting 功能,虽然 cgroup 的目录删除了,但是条目没有回收。这样后面就无法创建65535个 cgroup 了。也就是说,在当前内核版本下,开启了 kmem accounting 功能,会导致 memory cgroup 的条目泄漏无法回收。
具体实现
一. 需要重新编译 runc
1. 需要配置go语言环境
2. 下载runc源码
mkdir -p /data/Documents/src/github.com/opencontainers/ cd /data/Documents/src/github.com/opencontainers/ git clone https://github.com/opencontainers/runc cd runc/ git checkout v1.0.0-rc9 # 切到v1.0.0-rc9 tag
3. 编译
安装编译组件 sudo yum install libseccomp-devel make BUILDTAGS='seccomp nokmem' 编译完成之后会在当前目录下看到一个runc的可执行文件,等kubelet编译完成之后会将其替换
二. 编译kubelet
1.下载kubernetes源码
cd /root/go/src/github.com/ git clone https://github.com/kubernetes/kubernetes cd kubernetes/ git checkout v1.18.6
2. 编译kubelet
GO111MODULE=on KUBE_GIT_TREE_STATE=clean KUBE_GIT_VERSION=v1.18.6 make kubelet GOFLAGS="-tags=nokmem"
生成的kubelet二进制文件在生成的_output路径下。
三. 替换原有的 runc 和 kubelet
1、将原有 runc 和 kubelet 备份
mv /usr/bin/kubelet /home/kubelet mv /usr/bin/runc /home/runc
2. 停止 docker 和 kubelet
systemctl stop docker systemctl stop kubelet
3. 将编译好的runc和kubelet进行替换
cp kubelet /usr/bin/kubelet cp kubelet /usr/local/bin/kubelet cp runc /usr/bin/runc
4. 检查kmem是否关闭前需要将此节点的pod杀掉重启或者重启服务器,当结果为0时成功
cat /sys/fs/cgroup/memory/kubepods/burstable/memory.kmem.usage_in_bytes
5. 是否还存在内存泄露的情况
cat /sys/fs/cgroup/memory/kubepods/memory.kmem.slabinfo
6.经测试需要重启服务器后内存泄漏问题才能解决
参考:https://zhuanlan.zhihu.com/p/343031257