写在前面
最近在研究docker集群(kubernetes)的监控,为了彻底弄清楚, 简单看了一点源码。这里分享一下我学到的东西。
docker api: stats
首先是docker的api,stats的具体使用场景如:
http://$dockerip:2375/containers/$containerid/stats
可以获取docker机器上某一个容器的状态,该请求的response会持续的写响应报文回来(每秒一次)
http://$dockerip:2375/containers/$containerid/stats?stream=false
参数stream默认是true,设为false后,response只写一次。
docker中该api对应的操作,就相当于docker stats $CID 这条命令,它调用到了ContainerStats()方法(位于docker项目目录的/daemon/stats.go 第19行),函数中启动了一个收集器:
daemon.SubscribeToContainerStats(name)
收集器定时写数据到update变量中。
然后启动一个协程读数据,获取数据的途径包括:
update := v.(*execdriver.ResourceStats)
和
nwStats, err := daemon.getNetworkStats(name)
可以看到网络状态是另外读的,而cpu,内存状态在哪读呢?我们一步步跳转,看到在这里:
/daemon/execdriver/driver_linux.go 112行:
func Stats(containerDir string, containerMemoryLimit int64, machineMemory int64) (*ResourceStats, error)
在这个函数里我们看得到,其实所谓的获取容器状态,就是读文件而已。我们举一个已经在docker运行的容器来说:
cat /run/docker/execdriver/native/$containerID/state.json
这里面记录了一个cgroup_paths字段,他的值是一个路径,通过cstats, err := mgr.GetStats()程序才真正拿到了监控数据,如cpu的状态信息,存储在一个如下的路径中:
cd /sys/fs/cgroup/cpu,cpuacct/system.slice/docker-9b479ceaf3bef1caee2c37dfdc982a968144700a2c42991b238b938788a8a91f.scope
又比如内存的大致信息存在:
cat /sys/fs/cgroup/memory/system.slice/docker-9b479ceaf3bef1caee2c37dfdc982a968144700a2c42991b238b938788a8a91f.scope/memory.stat
具体里面放了什么数据,大家就自己看咯。
还剩下一个数据,也是我们讨论的重点:网络IO。
我们回到/daemon/stats.go:
看看函数getNetworkStats(name string):
每个docker容器创建后都会又docker创建一个网卡,网卡名以veth开头,后面是一串随机生成的十六进制码。
我们只要找到该网卡,然后,像上文的cpu,内存状态获取的方法一样,去找文件就行了。
然而这个网卡名似乎是存在内存中,至少我没有看到docker将这个网卡名存到别的地方。
代码中:
nw, err := daemon.netController.NetworkByID(c.NetworkSettings.NetworkID)
可以看出获取了网卡(network),尔后有一个Statistics()方法,我们继续跟踪会发现,docker调用了一个组件包:
github.com/docker/libcontainer
其中有statistics方法,并执行了一个cat的命令(该组件包的/sandbox/interface_linux.go 第174行):
data, err := exec.Command("cat", netStatsFile).Output()
是的,又是读文件。
这次读的文件在:/sys/class/net/目录下,
我们进入该目录可以看到有许多子目录,其中就包括了docker启动容器时生成的网卡。
个人猜测:docker在内存中保存了容器到网卡的映射关系。通过这个映射关系可以找到网卡的统计数据(数据由内核生成,记录在机器的文件中)
我们可以看到如下的数据:
![6a9be8e8f74a48cebcce9d746d83c6aa3c84d3a1]()
将这些数据统一起来,就是docker stats 这条命令干的事。
kubernetes如何调用上述的监控功能
kubernetes的监控采用了cAdvisor组件。因为kubernetes中记录了容器的信息(但是没有记录容器-网卡的映射关系),所以运行在节点上的cAdvisor不需要通过docker stats去获取容器的cpu和内存使用数据。
而网络IO数据呢?
我们知道k8s部署运行一个容器是会先生成一个pause容器。
是的,网络IO都记录在pause容器中。这里大家可以在自己的k8s环境中验证。
所以只要我们获取某容器对应的pause容器的containerID,我们就可以用如上的方式去抓到网络IO。
因为cAdvisor并不是为k8s专门设计的,不会特地在获取网络IO时去遍历查找容器对应的pause容器。所以当前的cAdvisor没有办法获取容器的网络IO。
所以如果在使用k8s集群,想要加入网络IO监控功能的时候,可以从k8s自带的cAdvisor入手。
cAdvisor
上面讲到cAdvisor,那么cAdvisor是如何获取网络的IO的呢?
首先,在k8s(1.0.6版本)的/pkg/kubelet/cadvisor/cadvisor_linux.go中51行,New(port int)方法,这是kubelet调用cAdvisor的入口。实例化一个cAdvisorClient,并执行他的Start()方法,我们可以进入cAdvisor项目中找到该方法(github.com/google/cadvisor/manager/manager.go 195行)。
我们看到有一句
err := docker.Register(self, self.fsInfo)
先mark之。继续看:
glog.Infof("Starting recovery of all containers")
err = self.detectSubcontainers("/")
这里程序程序检查所有在运行的容器,同内存中记录的容器作比较,有新的容器就新建一个相关的处理机制:一个Container的结构(有减少的,就删除),然后执行cont.Start() (github.com/google/cadvisor/manager/manager.go 766行)
持续追踪我们就可以知道每秒它收集一次监控信息,收集方法即
stats, statsErr := c.handler.GetStats()
(/cadvisor/manager/container.go 401行)
handler是一个接口。我们得知道当时是如何给他赋值的。这里不赘述了,我们直接找关键的方法:
func (self *dockerContainerHandler) GetStats() (*info.ContainerStats, error)
(cadvisor/container/docker/handler.go 第305行)
它又调用了:
func GetStats(cgroupManager cgroups.Manager, networkInterfaces []string) (*info.ContainerStats, error)
(cadvisor/container/libcontainer/helpers.go 第77行)
这里就是真正获取监控信息的地方,它引入了libcontainer包中的同名方法,
最终是导入了"github.com/docker/libcontainer/cgroups"这个第三方包中的方法。是不是很熟悉?对就是上文中提到的docker stats获取网络IO用到的包。我们到这个包里找到函数:
(/libcontainer/cgroups/fs/apply_raw.go 第148行)
func (m *Manager) GetStats() (*cgroups.Stats, error) {
m.mu.Lock()
defer m.mu.Unlock()
stats := cgroups.NewStats()
for name, path := range m.Paths {
//m.Paths中包括了cpu,memory,network等字段,根据这些字段找到相应的目录
sys, ok := subsystems[name]
if !ok || !cgroups.PathExists(path) {
continue
}
//读目录里的文件获取监控信息 if err := sys.GetStats(path, stats); err != nil {
return nil, err
}
}
return stats, nil
}
我们可以看到libcontainer/cgroups/fs目录下有cpu.go,memory.go等文件,每一个文件中都有一个集成了GetStats()的结构,我们可以获取到任何数据。
我们再回到cadvisor项目中cadvisor/container/libcontainer/helpers.go 第77行,
往下看:
// TODO(rjnagal): Use networking stats directly from libcontainer.
stats.Network.Interfaces = make([]info.InterfaceStats, len(networkInterfaces))
for i := range networkInterfaces {
interfaceStats, err := sysinfo.GetNetworkStats(networkInterfaces[i])
if err != nil {
return stats, err
}
stats.Network.Interfaces[i] = interfaceStats
}
这里官方还用了别的手段再去找network的数据,虽然不知道是处于什么理由,也不管这里是去找哪个系统文件看状态,但是这样依然是拿不到数据的。因为根本没有找到容器对应的网卡。这里找网卡的方法在cadvisor/container/docker/handler.go 第311行:
var networkInterfaces []string if len(config.Networks) > 0 {
// ContainerStats only reports stat for one network device. // TODO(vmarmol): Handle multiple physical network devices. for _, n := range config.Networks {
// Take the first non-loopback. if n.Type != "loopback" {
networkInterfaces = []string{n.HostInterfaceName}
break
}
}
}
stats, err := containerLibcontainer.GetStats(self.cgroupManager, networkInterfaces)
很显然这里是要改进的(在k8s的环境下)。
注:随着版本更新,新版本的cAdvisor采用github.com/opencontainers包。详见:github.com/opencontainers/runc/libcontainer/container_linux.go line 151:
另外,cadvisor获取网络监控数据的正确途径应该是:
监控pause容器,在其Pid对应的/proc/$pid/net/dev文件中即可得到容器内部网络监控数据
应用
说了这么多,其实给大家在实现k8s容器网络IO监控这个需求时提供一点想法:
1.从cadvisor入手,找到对应pause容器的containerID,那么就可以用libcontainer包去获取到数据(也即用docker stats的方式)。
2.从docker入手,创建容器时记录网卡信息,能否提供一个接口,根据容器名找到对应网卡名,那么cadvisor只要通过这个docker API得到网卡名,就可以自己读文件获取网络IO。
本文转自中文社区-浅谈k8s+docker 资源监控
