在一些老版的linux和k8s及docker上,有时会出现。这里详细记录一下就地解决办法,毕竟,一个上生产的k8s集群,不是说升级就升级的。
一,现象
当k8s集群运行日久以后,有的node无法再调试新的pod应用,并且出现如下错误,当重启服务器之后,才可以恢复正常使用。
applying cgroup … caused: mkdir …no space left on device
二,原因:
memcg 是 Linux 内核中用于管理 cgroup 内存的模块,整个生命周期应该是跟随 cgroup 的,但是在低版本内核中(已知3.10),一旦给某个 memory cgroup 开启 kmem accounting 中的 memory.kmem.limit_in_bytes 就可能会导致不能彻底删除 memcg 和对应的 cssid,也就是说应用即使已经删除了 cgroup (/sys/fs/cgroup/memory 下对应的 cgroup 目录已经删除), 但在内核中没有释放 cssid,导致内核认为的 cgroup 的数量实际数量不一致,我们也无法得知内核认为的 cgroup 数量是多少。
这个问题可能会导致创建容器失败,因为创建容器为其需要创建 cgroup 来做隔离,而低版本内核有个限制:允许创建的 cgroup 最大数量写死为 65535,如果节点上经常创建和销毁大量容器导致创建很多 cgroup,删除容器但没有彻底删除 cgroup 造成泄露(真实数量我们无法得知),到达 65535 后再创建容器就会报创建 cgroup 失败并报错 no space left on device,使用 kubernetes 最直观的感受就是 pod 创建之后无法启动成功。
三,解决方案:
升级内核暂不可行,动静太大,所以这次先选用为runc及kubelet增加编译参数的方案,希望能解决。
1,升级runc
1.1 从https://github.com/opencontainers/runc克隆runc源代码最新版。
1.2 从根目录下的dockerfile创建一个docker镜像(更改后的dockerfile最后)。
1.3 启动并进入此容器,运行生成runc。
make BUILDTAGS="seccomp nokmem"
1.4 将runc更改为docker-runc,拷出容器,留待备用。
2,升级kubelet
2.1 从https://github.com/kubernetes/kubernetes克隆k8s的指定版本
2.2 运行如下命令,将k8s的项目挂载到容器中(此镜像的dockerfile见下文)。
docker run -it --rm \
-v /Downloads/kubernetes-1.14.1:\
/usr/local/gopath/src/k8s.io/kubernetes \
harbor.io/build-k8s:centos-7.6-go-1.12.9-k8s-1.14.6 \
bash
2.3 进入容器,运行如下命令,在当前目录的_output/bin/下生成kubelet文件。
KUBE_BUILD_PLATFORMS=linux/amd64 make all \
WHAT=cmd/kubelet GOGCFLAGS="-N -l" GOFLAGS="-tags=nokmem"
2.4 将kubelet,拷出容器,留待备用。
四,操作步骤
1 先将出现此问题的节点驱逐出集群(这一操作可以让集群的服务不受影响)。
kubectl cordon k8s-node-xxx
2 使用如下命令先后停止kubelet和start服务。
systemctl stop kubelet
systemctl stop docker
3 将生成的docker-runc文件和kubelet文件替换掉(事先备份这两个文件)。请确认这两个文件执行可执行权限。
Docker-runc文件位置:/usr/bin/
Kubelet文件位置:/usr/bin/; /usr/local/bin/
4 重启服务器,验证docker进程和kubelet进程运行正常。
5 将此节点拉回集群。
kubectl uncordon k8s-node-xxx
五 附录
1 RUNC的dockerfile
FROM golang:1.12-stretch
RUN sed -i "s@http://deb.debian.org@http://mirrors.163.com@g" /etc/apt/sources.list \
&& apt-get update && apt-get install -y \
build-essential \
curl \
sudo \
gawk \
iptables \
jq \
pkg-config \
libaio-dev \
libcap-dev \
libprotobuf-dev \
libprotobuf-c0-dev \
libnl-3-dev \
libnet-dev \
libseccomp2 \
libseccomp-dev \
protobuf-c-compiler \
protobuf-compiler \
python-minimal \
uidmap \
kmod \
--no-install-recommends \
&& apt-get clean
# Add a dummy user for the rootless integration tests. While runC does
# not require an entry in /etc/passwd to operate, one of the tests uses
# `git clone` -- and `git clone` does not allow you to clone a
# repository if the current uid does not have an entry in /etc/passwd.
RUN useradd -u1000 -m -d/home/rootless -s/bin/bash rootless
# install bats
RUN cd /tmp \
&& git clone https://github.com/sstephenson/bats.git \
&& cd bats \
&& git reset --hard 03608115df2071fff4eaaff1605768c275e5f81f \
&& ./install.sh /usr/local \
&& rm -rf /tmp/bats
# install criu
ENV CRIU_VERSION v3.12
RUN mkdir -p /usr/src/criu \
&& curl -sSL https://github.com/checkpoint-restore/criu/archive/${CRIU_VERSION}.tar.gz | tar -v -C /usr/src/criu/ -xz --strip-components=1 \
&& cd /usr/src/criu \
&& make install-criu \
&& rm -rf /usr/src/criu
# setup a playground for us to spawn containers in
ENV ROOTFS /busybox
RUN mkdir -p ${ROOTFS}
COPY script/tmpmount /
WORKDIR /go/src/github.com/opencontainers/runc
ENTRYPOINT ["/tmpmount"]
ADD . /go/src/github.com/opencontainers/runc
2 编译k8s的dockerfile
FROM centos:centos7.6.1811
MAINTAINER cg
ENV GOROOT /usr/local/go
ENV GOPATH /usr/local/gopath
ENV PATH /usr/local/go/bin:$PATH
RUN yum install rpm-build which where rsync gcc gcc-c++ automake autoconf libtool make -y \
&& curl -L https://studygolang.com/dl/golang/go1.12.9.linux-amd64.tar.gz | tar zxvf - -C /usr/local