Являются ли отказы зонда живучести Kubernetes добровольными или непроизвольными сбоями?

Я бы сказал, согласно документации:

Добровольные и непроизвольные сбои

Поды не исчезают, пока кто-то (человек или контроллер) не уничтожит их, или пока не произойдет неизбежная ошибка оборудования или системного программного обеспечения.

Мы называем эти неизбежные случаи непроизвольными сбоями приложения. Примеры:

• аппаратный сбой физической машины, поддерживающей узел
• администратор кластера по ошибке удаляет ВМ (экземпляр)
• сбой облачного провайдера или гипервизора приводит к исчезновению виртуальной машины
• паника ядра
• узел исчезает из кластера из-за сетевого раздела кластера
• выселение модуля из-за того, что узел вне ресурсов < / а>.

За исключением состояния нехватки ресурсов, все эти условия должны быть знакомы большинству пользователей; они не относятся к Kubernetes.

Остальные случаи мы называем добровольными нарушениями. К ним относятся как действия, инициированные владельцем приложения, так и действия, инициированные администратором кластера. Типичные действия владельца приложения включают:

• удаление развертывания или другого контроллера, который управляет модулем
• обновление шаблона модуля развертывания, вызывающее перезапуск
• прямое удаление модуля (например, случайно)

Действия администратора кластера включают:

• Осушение узла для ремонта или обновления.
• Осушение узла из кластера для уменьшения масштаба кластера (узнайте о автоматическом масштабировании кластера).
• Удаление модуля из узла, чтобы на этом узле можно было разместить что-то еще.

- Kubernetes.io: Документы: Концепции: Рабочие нагрузки: Модули: Сбои

Итак, ваш пример совершенно другой, и, насколько мне известно, это не добровольное или непроизвольное нарушение.

Также взгляните на другую документацию Kubernetes:

Срок службы стручка

Как и отдельные контейнеры приложений, поды считаются относительно эфемерными (а не долговечными) объектами. Поды создаются, им присваивается уникальный идентификатор (UID) и запланированы на узлы, где они остаются до завершения (в соответствии с политикой перезапуска) или удаления. Если узел умирает, то запланированные для этого узла модули являются запланировано на удаление по истечении периода ожидания.

Стручки сами по себе не восстанавливаются. Если модуль Pod запланирован на узел, который затем выходит из строя, модуль удаляется; Точно так же Pod не переживет выселение из-за нехватки ресурсов или обслуживания узла. Kubernetes использует абстракцию более высокого уровня, называемую контроллером, который обрабатывает работу управление относительно одноразовыми экземплярами Pod.

- Kubernetes.io: Документы: Концепции: Рабочие нагрузки: модули: жизненный цикл модуля: время существования модуля

Контейнерные зонды

Кубелет может опционально выполнять и реагировать на три типа зондов при запущенных контейнерах (с акцентом на livenessProbe):

• livenessProbe: указывает, запущен ли контейнер. Если зонд живучести терпит неудачу, кубелет убивает контейнер, и контейнер подвергается воздействию его политика перезапуска. Если Контейнер не предоставляет зонд живучести, состояние по умолчанию - Success.

- Kubernetes.io: Документы: Концепции: Рабочие нагрузки: модули: жизненный цикл модуля: зонды контейнеров

Когда следует использовать зонд живучести?

Если процесс в вашем контейнере может аварийно завершиться самостоятельно, когда он сталкивается с проблемой или становится нездоровым, вам не обязательно нужна проверка живучести; кубелет автоматически выполнит правильное действие в соответствии с restartPolicy пода.

Если вы хотите, чтобы ваш контейнер был остановлен и перезапущен в случае сбоя зондирования, укажите зонд живучести и укажите restartPolicy из Always или OnFailure.

- Kubernetes.io: Документы: Концепции: Рабочие нагрузки: Модули: Жизненный цикл модуля: Когда следует использовать пробу запуска

Согласно этой информации, было бы лучше создать настраиваемый зонд жизнеспособности, который должен учитывать внутренние проверки работоспособности процесса и проверку работоспособности внешних зависимостей (жизнеспособности). В первом сценарии ваш контейнер должен остановить / завершить ваш процесс, в отличие от второго случая с внешней зависимостью.

Отвечая на следующий вопрос:

Мне интересно, предотвратит ли этот сценарий бюджет сбоя модуля.

В этом конкретном случае PDB не поможет.

Я считаю, что придание большей видимости комментарию, который я сделал с дополнительными ресурсами по этому вопросу, может оказаться полезным для других членов сообщества:

• Blog.risingstack.com: проектирование архитектуры микросервисов на случай сбоя
• Loft.sh: Блог: готовность Kubernetes проблемы примеры распространенные ошибки: внешние зависимости
• Cloud.google.com: Archiecture: масштабируемые и устойчивые приложения: Разработка устойчивости к сбоям

Мне интересно, предотвратит ли этот сценарий бюджет сбоя модуля.

Да, помешает.

Как вы заявили, когда pod выходит из строя (или сбой узла), ничто не может сделать поды недоступными. Однако для некоторых служб требуется, чтобы всегда работало минимальное количество модулей.

Может быть и другой способ (Stateful resource), но это один из простейших доступных ресурсов Kubernetes.

Примечание. Вы также можете использовать процентное значение вместо абсолютного числа в поле minAvailable. Например, вы можете указать, что 60% из всех модулей с меткой app=run-always должны быть запущены постоянно.