阎良建设局 网站,企业网站模板趋势,常州建站优化,佛山企业网站建设教程这里写目录标题 容器探针#xff08;probe#xff09;检查机制探测结果探测类型何时该使用存活态探针?何时该使用就绪态探针?何时该使用启动探针#xff1f; 使用exechttptcpgrpc使用命名端口 使用启动探针保护慢启动容器定义就绪探针配置探针HTTP 探测TCP 探测探针层面的… 这里写目录标题 容器探针probe检查机制探测结果探测类型何时该使用存活态探针?何时该使用就绪态探针?何时该使用启动探针 使用exechttptcpgrpc使用命名端口 使用启动探针保护慢启动容器定义就绪探针配置探针HTTP 探测TCP 探测探针层面的 terminationGracePeriodSeconds 容器探针probe
probe 是由 kubelet 对容器执行的定期诊断。 要执行诊断kubelet 既可以在容器内执行代码也可以发出一个网络请求。
检查机制
使用探针来检查容器有四种不同的方法。 每个探针都必须准确定义为这四种机制中的一种 exec 在容器内执行指定命令。如果命令退出时返回码为 0 则认为诊断成功。 grpc 使用 gRPC 执行一个远程过程调用。 目标应该实现 gRPC 健康检查。 如果响应的状态是 “SERVING”则认为诊断成功。 httpGet 对容器的 IP 地址上指定端口和路径执行 HTTP GET 请求。如果响应的状态码大于等于 200 且小于 400则诊断被认为是成功的。 tcpSocket 对容器的 IP 地址上的指定端口执行 TCP 检查。如果端口打开则诊断被认为是成功的。 如果远程系统容器在打开连接后立即将其关闭这算作是健康的。
注意 和其他机制不同exec 探针的实现涉及每次执行时创建/复制多个进程。 因此在集群中具有较高 pod 密度、较低的 initialDelaySeconds 和 periodSeconds 时长的时候 配置任何使用 exec 机制的探针可能会增加节点的 CPU 负载。 这种场景下请考虑使用其他探针机制以避免额外的开销。
探测结果
每次探测都将获得以下三种结果之一 Success成功 容器通过了诊断。 Failure失败 容器未通过诊断。 Unknown未知 诊断失败因此不会采取任何行动。
探测类型
针对运行中的容器kubelet 可以选择是否执行以下三种探针以及如何针对探测结果作出反应 livenessProbe 指示容器是否正在运行。如果存活态探测失败则 kubelet 会杀死容器 并且容器将根据其重启策略决定未来。如果容器不提供存活探针 则默认状态为 Success。 readinessProbe 指示容器是否准备好为请求提供服务。如果就绪态探测失败 端点控制器将从与 Pod 匹配的所有服务的端点列表中删除该 Pod 的 IP 地址。 初始延迟之前的就绪态的状态值默认为 Failure。 如果容器不提供就绪态探针则默认状态为 Success。 startupProbe 指示容器中的应用是否已经启动。如果提供了启动探针则所有其他探针都会被 禁用直到此探针成功为止。如果启动探测失败kubelet 将杀死容器 而容器依其重启策略进行重启。 如果容器没有提供启动探测则默认状态为 Success。
如欲了解如何设置存活态、就绪态和启动探针的进一步细节 可以参阅配置存活态、就绪态和启动探针。
何时该使用存活态探针?
如果容器中的进程能够在遇到问题或不健康的情况下自行崩溃则不一定需要存活态探针 kubelet 将根据 Pod 的 restartPolicy 自动执行修复操作。
如果你希望容器在探测失败时被杀死并重新启动那么请指定一个存活态探针 并指定 restartPolicy 为 “Always” 或 “OnFailure”。
何时该使用就绪态探针?
如果要仅在探测成功时才开始向 Pod 发送请求流量请指定就绪态探针。 在这种情况下就绪态探针可能与存活态探针相同但是规约中的就绪态探针的存在意味着 Pod 将在启动阶段不接收任何数据并且只有在探针探测成功后才开始接收数据。
如果你希望容器能够自行进入维护状态也可以指定一个就绪态探针 检查某个特定于就绪态的因此不同于存活态探测的端点。
如果你的应用程序对后端服务有严格的依赖性你可以同时实现存活态和就绪态探针。 当应用程序本身是健康的存活态探针检测通过后就绪态探针会额外检查每个所需的后端服务是否可用。 这可以帮助你避免将流量导向只能返回错误信息的 Pod。
如果你的容器需要在启动期间加载大型数据、配置文件或执行迁移 你可以使用启动探针。 然而如果你想区分已经失败的应用和仍在处理其启动数据的应用你可能更倾向于使用就绪探针。
说明
请注意如果你只是想在 Pod 被删除时能够排空请求则不一定需要使用就绪态探针 在删除 Pod 时Pod 会自动将自身置于未就绪状态无论就绪态探针是否存在。 等待 Pod 中的容器停止期间Pod 会一直处于未就绪状态。
何时该使用启动探针
对于所包含的容器需要较长时间才能启动就绪的 Pod 而言启动探针是有用的。 你不再需要配置一个较长的存活态探测时间间隔只需要设置另一个独立的配置选定 对启动期间的容器执行探测从而允许使用远远超出存活态时间间隔所允许的时长。
如果你的容器启动时间通常超出 initialDelaySeconds failureThreshold × periodSeconds 总值你应该设置一个启动探测对存活态探针所使用的同一端点执行检查。 periodSeconds 的默认值是 10 秒。你应该将其 failureThreshold 设置得足够高 以便容器有充足的时间完成启动并且避免更改存活态探针所使用的默认值。 这一设置有助于减少死锁状况的发生。
使用
exec
拉取yaml文件
[rootk8smaster probe]# wget https://k8s.io/examples/pods/probe/exec-liveness.yaml --no-check-certificate
从网上拉取文件创建 Pod
kubectl apply -f https://k8s.io/examples/pods/probe/exec-liveness.yaml[rootk8smaster probe]# cat exec-liveness.yaml
apiVersion: v1
kind: Pod
metadata:labels:test: livenessname: liveness-exec
spec:containers:- name: livenessimage: busyboxargs:- /bin/sh- -c- touch /tmp/healthy; sleep 30; rm -f /tmp/healthy; sleep 600livenessProbe:exec:command:- cat- /tmp/healthyinitialDelaySeconds: 5periodSeconds: 5
可能拉取镜像失败修改下
本地创建
[rootk8smaster probe]# ls
exec-liveness.yaml[rootk8smaster probe]# kubectl apply -f exec-liveness.yaml
pod/liveness-exec created在 30 秒内查看 Pod 的事件
kubectl describe pod liveness-execType Reason Age From Message---- ------ ---- ---- -------Normal Scheduled 83s default-scheduler Successfully assigned default/liveness-exec to k8snode2Normal Pulled 80s kubelet Successfully pulled image busybox in 2.029247825sNormal Created 80s kubelet Created container livenessNormal Started 80s kubelet Started container livenessWarning Unhealthy 35s (x3 over 45s) kubelet Liveness probe failed: cat: cant open /tmp/healthy: No such file or directoryNormal Killing 35s kubelet Container liveness failed liveness probe, will be restartedNormal Pulling 5s (x2 over 82s) kubelet Pulling image busybox
看重启次数
liveness-exec 1/1 Running 1 2m26s 10.244.185.237 k8snode2 none none
http
另外一种类型的存活探测方式是使用 HTTP GET 请求。 下面是一个 Pod 的配置文件其中运行一个基于 registry.k8s.io/liveness 镜像的容器。
pods/probe/http-liveness.yaml
apiVersion: v1
kind: Pod
metadata:labels:test: livenessname: liveness-http
spec:containers:- name: livenessimage: registry.k8s.io/livenessargs:- /serverlivenessProbe:httpGet:path: /healthzport: 8080httpHeaders:- name: Custom-Headervalue: AwesomeinitialDelaySeconds: 3periodSeconds: 3在这个配置文件中你可以看到 Pod 也只有一个容器。 periodSeconds 字段指定了 kubelet 每隔 3 秒执行一次存活探测。 initialDelaySeconds 字段告诉 kubelet 在执行第一次探测前应该等待 3 秒。 kubelet 会向容器内运行的服务服务在监听 8080 端口发送一个 HTTP GET 请求来执行探测。 如果服务器上 /healthz 路径下的处理程序返回成功代码则 kubelet 认为容器是健康存活的。 如果处理程序返回失败代码则 kubelet 会杀死这个容器并将其重启。
返回大于或等于 200 并且小于 400 的任何代码都标示成功其它返回代码都标示失败。
你可以访问 server.go阅读服务的源码。 容器存活期间的最开始 10 秒中/healthz 处理程序返回 200 的状态码。 之后处理程序返回 500 的状态码。
http.HandleFunc(/healthz, func(w http.ResponseWriter, r *http.Request) {duration : time.Now().Sub(started)if duration.Seconds() 10 {w.WriteHeader(500)w.Write([]byte(fmt.Sprintf(error: %v, duration.Seconds())))} else {w.WriteHeader(200)w.Write([]byte(ok))}
})kubelet 在容器启动之后 3 秒开始执行健康检测。所以前几次健康检查都是成功的。 但是 10 秒之后健康检查会失败并且 kubelet 会杀死容器再重新启动容器。
创建一个 Pod 来测试 HTTP 的存活检测
kubectl apply -f https://k8s.io/examples/pods/probe/http-liveness.yaml10 秒之后通过查看 Pod 事件来确认存活探针已经失败并且容器被重新启动了。
kubectl describe pod liveness-httptcp
第三种类型的存活探测是使用 TCP 套接字。 使用这种配置时kubelet 会尝试在指定端口和容器建立套接字链接。 如果能建立连接这个容器就被看作是健康的如果不能则这个容器就被看作是有问题的。
pods/probe/tcp-liveness-readiness.yaml
apiVersion: v1
kind: Pod
metadata:name: goproxylabels:app: goproxy
spec:containers:- name: goproxyimage: registry.k8s.io/goproxy:0.1ports:- containerPort: 8080readinessProbe:tcpSocket:port: 8080initialDelaySeconds: 5periodSeconds: 10livenessProbe:tcpSocket:port: 8080initialDelaySeconds: 15periodSeconds: 20如你所见TCP 检测的配置和 HTTP 检测非常相似。 下面这个例子同时使用就绪和存活探针。kubelet 会在容器启动 5 秒后发送第一个就绪探针。 探针会尝试连接 goproxy 容器的 8080 端口。 如果探测成功这个 Pod 会被标记为就绪状态kubelet 将继续每隔 10 秒运行一次探测。
除了就绪探针这个配置包括了一个存活探针。 kubelet 会在容器启动 15 秒后进行第一次存活探测。 与就绪探针类似存活探针会尝试连接 goproxy 容器的 8080 端口。 如果存活探测失败容器会被重新启动。
kubectl apply -f https://k8s.io/examples/pods/probe/tcp-liveness-readiness.yaml15 秒之后通过看 Pod 事件来检测存活探针
kubectl describe pod goproxygrpc
如果你的应用实现了 gRPC 健康检查协议 kubelet 可以配置为使用该协议来执行应用存活性检查。 你必须启用 GRPCContainerProbe 特性门控 才能配置依赖于 gRPC 的检查机制。
这个例子展示了如何配置 Kubernetes 以将其用于应用的存活性检查。 类似地你可以配置就绪探针和启动探针。
下面是一个示例清单
pods/probe/grpc-liveness.yaml
apiVersion: v1
kind: Pod
metadata:name: etcd-with-grpc
spec:containers:- name: etcdimage: registry.k8s.io/etcd:3.5.1-0command: [ /usr/local/bin/etcd, --data-dir, /var/lib/etcd, --listen-client-urls, http://0.0.0.0:2379, --advertise-client-urls, http://127.0.0.1:2379, --log-level, debug]ports:- containerPort: 2379livenessProbe:grpc:port: 2379initialDelaySeconds: 10要使用 gRPC 探针必须配置 port 属性。 如果要区分不同类型的探针和不同功能的探针可以使用 service 字段。 你可以将 service 设置为 liveness并使你的 gRPC 健康检查端点对该请求的响应与将 service 设置为 readiness 时不同。 这使你可以使用相同的端点进行不同类型的容器健康检查而不是监听两个不同的端口。 如果你想指定自己的自定义服务名称并指定探测类型Kubernetes 项目建议你使用使用一个可以关联服务和探测类型的名称来命名。 例如myservice-liveness使用 - 作为分隔符。
说明
与 HTTP 和 TCP 探针不同gRPC 探测不能使用按名称指定端口 也不能自定义主机名。
配置问题例如错误的 port 或 service、未实现健康检查协议 都被认作是探测失败这一点与 HTTP 和 TCP 探针类似。
kubectl apply -f https://k8s.io/examples/pods/probe/grpc-liveness.yaml15 秒钟之后查看 Pod 事件确认存活性检查并未失败
kubectl describe pod etcd-with-grpc在 Kubernetes 1.23 之前gRPC 健康探测通常使用 [grpc-health-probe] 来实现如博客 [Health checking gRPC servers on Kubernetes**对 Kubernetes 上的 gRPC 服务器执行健康检查**所描述。 内置的 gRPC 探针的行为与 grpc-health-probe 所实现的行为类似。 从 grpc-health-probe 迁移到内置探针时请注意以下差异
内置探针运行时针对的是 Pod 的 IP 地址不像 grpc-health-probe 那样通常针对 127.0.0.1 执行探测 请一定配置你的 gRPC 端点使之监听于 Pod 的 IP 地址之上。内置探针不支持任何身份认证参数例如 -tls。对于内置的探针而言不存在错误代码。所有错误都被视作探测失败。如果 ExecProbeTimeout 特性门控被设置为 false则 grpc-health-probe 不会考虑 timeoutSeconds 设置状态默认值为 1s 而内置探针则会在超时时返回失败。
使用命名端口
对于 HTTP 和 TCP 存活检测可以使用命名的 portgRPC 探针不支持使用命名端口。
例如
ports:
- name: liveness-portcontainerPort: 8080hostPort: 8080livenessProbe:httpGet:path: /healthzport: liveness-port使用启动探针保护慢启动容器
有时候会有一些现有的应用在启动时需要较长的初始化时间。 要这种情况下若要不影响对死锁作出快速响应的探测设置存活探测参数是要技巧的。 技巧就是使用相同的命令来设置启动探测针对 HTTP 或 TCP 检测可以通过将 failureThreshold * periodSeconds 参数设置为足够长的时间来应对最糟糕情况下的启动时间。
这样前面的例子就变成了
ports:
- name: liveness-portcontainerPort: 8080hostPort: 8080livenessProbe:httpGet:path: /healthzport: liveness-portfailureThreshold: 1periodSeconds: 10startupProbe:httpGet:path: /healthzport: liveness-portfailureThreshold: 30periodSeconds: 10幸亏有启动探测应用将会有最多 5 分钟30 * 10 300s的时间来完成其启动过程。 一旦启动探测成功一次存活探测任务就会接管对容器的探测对容器死锁作出快速响应。 如果启动探测一直没有成功容器会在 300 秒后被杀死并且根据 restartPolicy 来执行进一步处置。
定义就绪探针
有时候应用会暂时性地无法为请求提供服务。 例如应用在启动时可能需要加载大量的数据或配置文件或是启动后要依赖等待外部服务。 在这种情况下既不想杀死应用也不想给它发送请求。 Kubernetes 提供了就绪探针来发现并缓解这些情况。 容器所在 Pod 上报还未就绪的信息并且不接受通过 Kubernetes Service 的流量。
说明
就绪探针在容器的整个生命周期中保持运行状态。
注意
存活探针与就绪性探针相互间不等待对方成功。 如果要在执行就绪性探针之前等待应该使用 initialDelaySeconds 或 startupProbe。
就绪探针的配置和存活探针的配置相似。 唯一区别就是要使用 readinessProbe 字段而不是 livenessProbe 字段。
readinessProbe:exec:command:- cat- /tmp/healthyinitialDelaySeconds: 5periodSeconds: 5HTTP 和 TCP 的就绪探针配置也和存活探针的配置完全相同。
就绪和存活探测可以在同一个容器上并行使用。 两者共同使用可以确保流量不会发给还未就绪的容器当这些探测失败时容器会被重新启动。
配置探针
Probe 有很多配置字段可以使用这些字段精确地控制启动、存活和就绪检测的行为 • initialDelaySeconds容器启动后要等待多少秒后才启动启动、存活和就绪探针。 如果定义了启动探针则存活探针和就绪探针的延迟将在启动探针已成功之后才开始计算。 如果 periodSeconds 的值大于 initialDelaySeconds则 initialDelaySeconds 将被忽略。默认是 0 秒最小值是 0。 • periodSeconds执行探测的时间间隔单位是秒。默认是 10 秒。最小值是 1。 • timeoutSeconds探测的超时后等待多少秒。默认值是 1 秒。最小值是 1。 • successThreshold探针在失败后被视为成功的最小连续成功数。默认值是 1。 存活和启动探测的这个值必须是 1。最小值是 1。 • failureThreshold探针连续失败了 failureThreshold 次之后 Kubernetes 认为总体上检查已失败容器状态未就绪、不健康、不活跃。 对于启动探针或存活探针而言如果至少有 failureThreshold 个探针已失败 Kubernetes 会将容器视为不健康并为这个特定的容器触发重启操作。 kubelet 遵循该容器的 terminationGracePeriodSeconds 设置。 对于失败的就绪探针kubelet 继续运行检查失败的容器并继续运行更多探针 因为检查失败kubelet 将 Pod 的 Ready 状况设置为 false。 • terminationGracePeriodSeconds为 kubelet 配置从为失败的容器触发终止操作到强制容器运行时停止该容器之前等待的宽限时长。 默认值是继承 Pod 级别的 terminationGracePeriodSeconds 值如果不设置则为 30 秒最小值为 1。 更多细节请参见探针级别 terminationGracePeriodSeconds。
注意
如果就绪态探针的实现不正确可能会导致容器中进程的数量不断上升。 如果不对其采取措施很可能导致资源枯竭的状况。
HTTP 探测
HTTP Probes 允许针对 httpGet 配置额外的字段 • host连接使用的主机名默认是 Pod 的 IP。也可以在 HTTP 头中设置 “Host” 来代替。 • scheme用于设置连接主机的方式HTTP 还是 HTTPS。默认是 “HTTP”。 • path访问 HTTP 服务的路径。默认值为 “/”。 • httpHeaders请求中自定义的 HTTP 头。HTTP 头字段允许重复。 • port访问容器的端口号或者端口名。如果数字必须在 165535 之间。
对于 HTTP 探测kubelet 发送一个 HTTP 请求到指定的端口和路径来执行检测。 除非 httpGet 中的 host 字段设置了否则 kubelet 默认是给 Pod 的 IP 地址发送探测。 如果 scheme 字段设置为了 HTTPSkubelet 会跳过证书验证发送 HTTPS 请求。 大多数情况下不需要设置 host 字段。 这里有个需要设置 host 字段的场景假设容器监听 127.0.0.1并且 Pod 的 hostNetwork 字段设置为了 true。那么 httpGet 中的 host 字段应该设置为 127.0.0.1。 可能更常见的情况是如果 Pod 依赖虚拟主机你不应该设置 host 字段而是应该在 httpHeaders 中设置 Host。
针对 HTTP 探针kubelet 除了必需的 Host 头部之外还发送两个请求头部字段 • User-Agent默认值是 kube-probe/1.28其中 1.28 是 kubelet 的版本号。 • Accept默认值 */*。
你可以通过为探测设置 httpHeaders 来重载默认的头部字段值。例如
livenessProbe:httpGet:httpHeaders:- name: Acceptvalue: application/jsonstartupProbe:httpGet:httpHeaders:- name: User-Agentvalue: MyUserAgent你也可以通过将这些头部字段定义为空值从请求中去掉这些头部字段。
livenessProbe:httpGet:httpHeaders:- name: Acceptvalue: startupProbe:httpGet:httpHeaders:- name: User-Agentvalue: TCP 探测
对于 TCP 探测而言kubelet 在节点上不是在 Pod 里面发起探测连接 这意味着你不能在 host 参数上配置服务名称因为 kubelet 不能解析服务名称。
探针层面的 terminationGracePeriodSeconds
特性状态 Kubernetes v1.28 [stable]
在 1.25 及以上版本中用户可以指定一个探针层面的 terminationGracePeriodSeconds 作为探针规约的一部分。 当 Pod 层面和探针层面的 terminationGracePeriodSeconds 都已设置kubelet 将使用探针层面设置的值。
当设置 terminationGracePeriodSeconds 时请注意以下事项 • kubelet 始终优先选用探针级别 terminationGracePeriodSeconds 字段 如果它存在于 Pod 上。 • 如果你已经为现有 Pod 设置了 terminationGracePeriodSeconds 字段并且不再希望使用针对每个探针的终止宽限期则必须删除现有的这类 Pod。
例如
spec:terminationGracePeriodSeconds: 3600 # Pod 级别设置containers:- name: testimage: ...ports:- name: liveness-portcontainerPort: 8080hostPort: 8080livenessProbe:httpGet:path: /healthzport: liveness-portfailureThreshold: 1periodSeconds: 60# 重载 Pod 级别的 terminationGracePeriodSecondsterminationGracePeriodSeconds: 60探针层面的 terminationGracePeriodSeconds 不能用于就绪态探针。 这一设置将被 API 服务器拒绝。
