? 一次让我蜕变的K8s故障排查实录:从“线程泄漏”到全局PID耗尽 ?
作为一名SRE,最深刻的成长往往源于“踩坑”后的反思。今天分享一次让我在面试中收获最多、成长最快的K8s故障复盘经历——一次由全局PID耗尽引发的Calico网络崩溃事件。
一、故障现象:诡异的Calico自愈与Pod网络瘫痪面试官抛出一个经典问题:“遇到过哪些K8s集群的‘玄学’故障?”我立刻回想起那次线下环境的“连环暴雷”场景:
• 现象1:某物理节点(node-xx)上的Pod突然网络不可达,但节点本身状态正常。• 现象2:Calico组件反复重启,事件日志显示Readiness/Liveness Probe Failed,报错Resource temporarily unavailable。• 现象3:kubelet日志提示runtime: failed to create new OS thread,并建议调整ulimit -u。面试官追问:“第一反应是什么排查方向?”我回答:“资源限制——线程、进程数、内核参数,但需要数据支撑。”
二、抽丝剥茧:从线程泄漏到全局PID的真相1. 监控数据里的蛛丝马迹• Prometheus数据:通过
container_threads指标发现,故障节点的容器总线程数飙升至46k,远超日常基线。• 物理机限制核查:ulimit -u显示单用户限制为204k,看似安全,但忽略了一个关键参数——全局PID上限(/proc/sys/kernel/pid_max)仅49k!而46k容器线程+其他系统进程已突破此阈值。2. 根因定位:线程泄漏与PID分配机制• 应用代码漏洞:某业务Pod存在线程泄漏,导致线程数持续增长。• PID分配机制:Linux内核的PID是全局分配的,当pid_max耗尽时,任何新建进程(包括探针)均会失败,这正是Calico探针报错的根源。面试官点头:“很多人会误以为是ulimit问题,但忽略了全局限制。你是如何想到PID的?”我答:“日志中的fatal error: newosproc提示了进程创建失败,而Prometheus线程监控锁定了泄漏源头。”
sysctl -w kernel.pid_max=262144,缓解进程创建阻塞。• 重启泄漏Pod:通过标签筛选并重启问题业务Pod,释放被占用的PID资源。2. 长期防御• 监控强化:在Node-Exporter中启用--collector.processes,监控node_processes_threads并设置阈值告警(如>80%触发)。• K8s资源限制:启用Pod PID限制(通过kubelet --pod-max-pids),避免单Pod耗尽资源。• 内核参数调优:根据业务负载动态调整pid_max和threads-max,避免硬编码默认值。四、经验沉淀:SRE的“故障哲学”这次故障教会我几个关键原则:
1. 监控覆盖“隐形资源”:CPU/内存/磁盘是显性指标,但线程、PID、句柄等“边角资源”更易引发连锁反应。2. 全局视角的排查思维:用户级限制(ulimit)与系统级限制(pid_max)需双重验证。3. 从“被动响应”到“主动防御”:通过故障复盘模板(如时间轴梳理、Checklist标准化)推动系统性改进。面试官最终评价:“故障不可怕,可怕的是重复踩坑。你的复盘逻辑和预防措施,体现了SRE的核心价值。”
五、写给读者:如何修炼故障排查内功?• 工具储备:掌握kubectl describe/journalctl/PromQL三件套,熟练分析日志和指标。• 知识体系:深入理解Linux内核机制(如PID分配、cgroup限制)、K8s调度原理。• 复盘文化:坚持“更快恢复、避免重复”的目标,将每次故障转化为团队知识库的养分。 
