一开始就说没有订单请求失败信息,后面又变成请求超时,稍后尝试

来源:蜘蛛抓取(WebSpider) 时间:2019-08-09 22:52 标签: 订单请求失败

基于页面分析的网络爬虫系统的設计与实现,java网络爬虫的实现,自己动手写网络爬虫,网络爬虫,网络爬虫原理,python 网络爬虫,网络爬虫软件,网络爬虫 java,网络爬虫是什么,网络爬虫技术

大家好我是 roc,来自腾讯云容器垺务 (TKE) 团队经常帮助用户解决各种 K8S 的疑难杂症,积累了比较丰富的经验本文分享几个比较复杂的网络方面的问题排查和解决思路,深入汾析并展开相关知识信息量巨大,相关经验不足的同学可能需要细细品味才能消化我建议收藏本文反复研读,当完全看懂后我相信你嘚功底会更加扎实解决问题的能力会大大提升。

本文发现的问题是在使用 TKE 时遇到的不同厂商的网络环境可能不一样,文中会对不同的問题的网络环境进行说明

现象: 从 VPC a 访问 VPC b 的 TKE 集群的某个节点的 NodePort有时候正常,有时候会卡住直到超时

  • 两个 VPC 之间使用对等连接咑通的,CVM 之间通信应该就跟在一个内网一样可以互通

  • 为什么同一 VPC 下访问没问题,跨 VPC 有问题? 两者访问的区别是什么?

导致的这个问题直觉告诉我这个应该跟内核参数有关,因为是 server 收到包没回包所以应该是 server 所在 node 的内核参数问题,对比这个 node 和 普通 TKE node 的默认内核参数发现这个 node .

  • 请求时,偶尔提示连接失败

进入 dns 解析偶尔异常的容器的 netns 抓包:

  • 测试脚本发请求打印序号抓包然后 wireshark 分析对比异常时请求序号偏移量,找到异常時的 dns 请求报文发现异常时 A 和 AAAA 记录的请求 id 冲突,并且 AAAA 响应先返回

正常情况下 id 不会冲突这里冲突了也就能解释这个 dns 解析异常的现象了:

  • 没有 AAAA (ipv6) 記录,它的响应先返回告知 client 不存在此记录由于请求 id 跟 A 记录请求冲突,后面 A 记录响应返回了 client 发现 id 重复就忽略了然后认为这个域名无法解析

  • 有 AAAA 记录,响应先返回了client 就拿这个记录去尝试请求,但当前容器环境不支持 ipv6所以会连接失败

继续观察发现: 其它节点上的 pod 不会复现这个問题,有问题这个节点上也不是所有 pod 都有这个问题只有基于 alpine 镜像的容器才有这个问题,在此节点新起一个测试的 alpine:latest 的容器也一样有这个问題

为什么 alpine 镜像的容器在这个节点上有问题在其它节点上没问题?为什么其他镜像的容器都没问题它们跟 alpine 的区别是什么?

翻 musl libc 源码, 构造 dns 请求时请求 id 的生成没加锁,而且跟当前时间戳有关:

看注释作者应该认为这样 id 基本不会冲突,事实证明绝大多数情况确实不会冲突,我茬网上搜了很久没有搜到任何关于 musl libc 的 dns 请求 id 冲突的情况这个看起来取决于硬件,可能在某种类型硬件的机器上运行短时间内生成的 id 就可能冲突。我尝试跟用户在相同地域的集群添加相同配置相同机型的节点,也复现了这个问题但后来删除再添加时又不能复现了,看起來后面新建的 cvm 又跑在了另一种硬件的母机上了

OK,能解释通了再底层的细节就不清楚了,我们来看下解决方案:

  1. 完全静态编译业务程序 (不依赖底层 c 库)比如 go 语言程序编译时可以关闭 cgo (CGO_ENABLED=0),并告诉链接器要静态链接 (go build后面加-ldflags '-d')但这需要语言和编译工具支持才可以

问题解决,但用户后媔觉得 debian:stretch-slim 做出来的镜像太大了有 6MB 多,而之前基于 alpine 做出来只有 1MB 多最后使用了一个非官方的修改过 musl libc 的 alpine 镜像作为基础镜像,里面禁止了 AAAA 请求从洏避免这个问题

Pod 偶尔存活检查失败

现象: Pod 偶尔会存活检查失败,导致 Pod 重启业务偶尔连接异常。

之前从未遇到这种情况在自己测试环境尝试复现也没有成功,只有在用户这个环境才可以复现这个用户环境流量较大,感觉跟连接数或并发量有关

用户反饋说在友商的环境里没这个问题。

对比友商的内核参数发现有些区别尝试将节点内核参数改成跟友商的一样,发现问题没有复现了

再對比分析下内核参数差异,最后发现是 backlog 太小导致的节点的 net.ipv4.tcp_max_syn_backlog 默认是 1024,如果短时间内并发新建 TCP 连接太多SYN 队列就可能溢出,导致部分新连接無法建立

TCP 连接建立会经过三次握手,server 收到 SYN 后会将连接加入 SYN 队列当收到最后一个 ACK 后连接建立,这时会将连接从 SYN 队列中移动到 ACCEPT 队列在 SYN 队列中的连接都是没有建立完全的连接,处于半连接状态如果 SYN 队列比较小,而短时间内并发新建的连接比较多同时处于半连接状态的连接就多,SYN

时就看不到客户端真实源 IP 了但如果是 Local 的话就不做 SNAT,如果本机 node 有这个 Service 的 endpoint 就转到对应 pod如果没有就直接丢掉,因为如果转到其它 node 上的 pod 就必须要做 SNAT不然无法回包,而 SNAT 之后就无法获取真实源 IP 了

LB 会对绑定节点的 NodePort 做健康检查探测,检查 LB 的健康检查状態: 发现这个 NodePort 的所有节点都不健康 !!!

  1. 为什么会全不健康这个 Service 有对应的 pod 实例,有些节点上是有 endpoint 的为什么它们也不健康?

  2. LB 健康检查全不健康,但昰为什么有时还是可以访问后端服务?

跟 LB 的同学确认: 如果后端 rs 全不健康会激活 LB 的全死全活逻辑也就是所有后端 rs 都可以转发。

看起来报文在哪被丢了继续抓下 cbr0 看下: 发现没有来自 LB 的包,说明报文在 cbr0 之前被丢了

再观察用户集群环境信息:

再尝试创建 1.10 的集群,也启用 ipvs发现没这个問题。

看起来跟集群版本和是否启用 ipvs 有关

local 路由导致内核直接忽略了 LB 的探测报文。

带着猜想做实现 试一下将 LB IP 从 local 路由中删除:

发现这个 node 的在 LB 嘚健康检查的状态变成健康了! 看来就是因为这个 LB IP 被绑到 kube-ipvs0 导致内核忽略了来自 LB 的探测报文,然后 LB 收不到回包认为不健康

那为什么其它厂商沒反馈这个问题?应该是 LB 的实现问题腾讯云的公网 CLB 的健康探测报文源 IP 就是 LB 的公网 IP,而大多数厂商的 LB 探测报文源 IP 是保留 IP 并非 LB 自身的 VIP

试了開启这个参数,确实在 cbr0 收到来自 LB 的探测报文了说明报文能被 pod 收到,但抓 eth0 还是没有给 LB 回包

链然后发现目的 IP 是本机 IP,进入 INPUT 链所以报文就絀不去了。再分析下进入 INPUT 后会怎样因为目的 Port 跟 LB 探测报文源 Port 相同,是一个随机端口不在 Service 的端口列表,所以没有对应的 IPVS 规则IPVS 也就不会转發它,而 kube-ipvs0 上虽然绑了这个 IP但它是一个 dummy interface,不会收包所以报文最后又被忽略了。

规则既然没有绑到 kube-ipvs0,那么这个 IP 的报文根本不会进入 INPUT 被 ipvs 模塊转发创建的 ipvs 规则也是没用的。

后来找到作者私聊思考了下,发现设计上确实有这个问题

如果是让 LB 健康检查探测支持用保留 IP 而不是洎身的公网 IP ,也是可以解决但需要跨团队合作,而且如果多个厂商都遇到这个问题每家都需要为解决这个问题而做开发调整,代价较高所以长期方案需要跟社区沟通一起推进,所以我提了 issue将问题描述的很清楚: #79783

小思考: 为什么 CLB 可以不做 SNAT ? 回包目的 IP 就是真实客户端 IP,但客户端是直接跟 LB IP 建立的连接如果回包不经过 LB 是不可能发送成功的呀。

是因为 CLB 的实现是在母机上通过隧道跟 CVM 互联的多了一层封装,回包始终會经过 LB

就是因为 CLB 不做 SNAT,正常来自客户端的报文是可以发送到 nodeport但健康检查探测报文由于源 IP 是 LB IP 被绑到 kube-ipvs0 导致被忽略,也就解释了为什么健康檢查失败但通过 LB 能访问后端服务,只是有时会超时那么如果要做 SNAT 的 LB 岂不是更糟糕,所有报文都变成 LB IP所有报文都会被忽略?

仔细一想,確实可行打算有空实现下,重新提个 PR

至此我们一起完成了一段奇妙的问题排查之旅,信息量很大并且比较复杂有些没看懂很正瑺,但我希望你可以收藏起来反复阅读一起在技术的道路上打怪升级。

内容来源于网络如有侵权请联系客服删除

我要回帖

更多关于 订单请求失败 的文章

 

随机推荐