Как Docker работает с OOM killer и ограничениями памяти?

Question

Как Docker работает с OOM killer и ограничениями памяти?

У меня есть Docker-контейнер, который запускает простое Java-приложение (на основе jgroups) через bash-скрипт. Процесс java ограничен через Xmx 128 м, контейнеру разрешено использовать 256 м (своп отключен). К сожалению, время от времени я сталкиваюсь со следующими сообщениями OOM:

Jul 07 02:43:54 ip-10-1-2-125 kernel: oom_kill_process: 16 callbacks suppressed
Jul 07 02:43:54 ip-10-1-2-125 kernel: java invoked oom-killer: gfp_mask=0x2400040, order=0, oom_score_adj=0
Jul 07 02:43:54 ip-10-1-2-125 kernel: java cpuset=0ead341e639c2f2bd27a38666aa0834c969e8c7e6d2fb21516a2c698adce8d5f mems_allowed=0
Jul 07 02:43:54 ip-10-1-2-125 kernel: CPU: 0 PID: 26686 Comm: java Not tainted 4.4.0-28-generic #47-Ubuntu
Jul 07 02:43:54 ip-10-1-2-125 kernel: Hardware name: Xen HVM domU, BIOS 4.2.amazon 05/12/2016
Jul 07 02:43:54 ip-10-1-2-125 kernel:  0000000000000286 000000006ffe9d71 ffff8800bb3c7c88 ffffffff813eb1a3
Jul 07 02:43:54 ip-10-1-2-125 kernel:  ffff8800bb3c7d68 ffff880033aea940 ffff8800bb3c7cf8 ffffffff812094fe
Jul 07 02:43:54 ip-10-1-2-125 kernel:  000000000000258c 000000000000000a ffffffff81e66760 0000000000000206
Jul 07 02:43:54 ip-10-1-2-125 kernel: Call Trace:
Jul 07 02:43:54 ip-10-1-2-125 kernel:  [<ffffffff813eb1a3>] dump_stack+0x63/0x90
Jul 07 02:43:54 ip-10-1-2-125 kernel:  [<ffffffff812094fe>] dump_header+0x5a/0x1c5
Jul 07 02:43:54 ip-10-1-2-125 kernel:  [<ffffffff811913b2>] oom_kill_process+0x202/0x3c0
Jul 07 02:43:54 ip-10-1-2-125 kernel:  [<ffffffff811fd304>] ? mem_cgroup_iter+0x204/0x390
Jul 07 02:43:54 ip-10-1-2-125 kernel:  [<ffffffff811ff363>] mem_cgroup_out_of_memory+0x2b3/0x300
Jul 07 02:43:54 ip-10-1-2-125 kernel:  [<ffffffff81200138>] mem_cgroup_oom_synchronize+0x338/0x350
Jul 07 02:43:54 ip-10-1-2-125 kernel:  [<ffffffff811fb660>] ? kzalloc_node.constprop.48+0x20/0x20
Jul 07 02:43:54 ip-10-1-2-125 kernel:  [<ffffffff81191a64>] pagefault_out_of_memory+0x44/0xc0
Jul 07 02:43:54 ip-10-1-2-125 kernel:  [<ffffffff8106b2c2>] mm_fault_error+0x82/0x160
Jul 07 02:43:54 ip-10-1-2-125 kernel:  [<ffffffff8106b778>] __do_page_fault+0x3d8/0x400
Jul 07 02:43:54 ip-10-1-2-125 kernel:  [<ffffffff8106b7c2>] do_page_fault+0x22/0x30
Jul 07 02:43:54 ip-10-1-2-125 kernel:  [<ffffffff81829838>] page_fault+0x28/0x30
Jul 07 02:43:54 ip-10-1-2-125 kernel: Task in /docker/0ead341e639c2f2bd27a38666aa0834c969e8c7e6d2fb21516a2c698adce8d5f killed as a result of limit of /docker/0ead341e639c2f2bd27a38666aa0834c96
Jul 07 02:43:54 ip-10-1-2-125 kernel: memory: usage 262144kB, limit 262144kB, failcnt 6868
Jul 07 02:43:54 ip-10-1-2-125 kernel: memory+swap: usage 0kB, limit 9007199254740988kB, failcnt 0
Jul 07 02:43:54 ip-10-1-2-125 kernel: kmem: usage 0kB, limit 9007199254740988kB, failcnt 0
Jul 07 02:43:54 ip-10-1-2-125 kernel: Memory cgroup stats for /docker/0ead341e639c2f2bd27a38666aa0834c969e8c7e6d2fb21516a2c698adce8d5f: cache:96KB rss:262048KB rss_huge:135168KB mapped_file:16
Jul 07 02:43:54 ip-10-1-2-125 kernel: [ pid ]   uid  tgid total_vm      rss nr_ptes nr_pmds swapents oom_score_adj name
Jul 07 02:43:54 ip-10-1-2-125 kernel: [26659]     0 26659     1127       20       7       3        0             0 sh
Jul 07 02:43:54 ip-10-1-2-125 kernel: [26665]     0 26665     1127       20       7       3        0             0 run.sh
Jul 07 02:43:54 ip-10-1-2-125 kernel: [26675]     0 26675   688639    64577     204       7        0             0 java
Jul 07 02:43:54 ip-10-1-2-125 kernel: Memory cgroup out of memory: Kill process 26675 (java) score 988 or sacrifice child
Jul 07 02:43:54 ip-10-1-2-125 kernel: Killed process 26675 (java) total-vm:2754556kB, anon-rss:258308kB, file-rss:0kB
Jul 07 02:43:54 ip-10-1-2-125 docker[977]: Killed

Как видите, RSS моего приложения составляет около 64 млн. Но по какой-то причине RSS группы составляет 256 миллионов (включая 128 миллионов огромных страниц).

Это что-то вроде кешей ОС? Если так, почему OOM не очищает их перед тем, как убивать пользовательские приложения?

7

docker oom-killer

Источник

mikhail 08 июл '16 в 10:55

2 ответа

Другие вопросы по тегам docker oom-killer

mikhail 30 окт '17 в 18:08 2017-10-30 18:08 · Answer 1 · 2017-10-30 18:08

Ой! Похоже, я забыл опубликовать ответ.

Проблема выше с моим процессом Java, это не связано с докером. Я ошибочно подумал, что отчет OOM печатает RSS в килобайтах. Это неправильно - отчет OOM печатает количество страниц, которые обычно занимают 4 КБ каждая.

В моем случае pid 26675 занимает 64577 страниц для RSS, что равно (64577 * 4K) 258 308 КБайт. Добавление 2 процессов bash дает нам предел текущей CGroup - 262144kB.

Итак, дальнейший анализ должен быть в поле JVM: анализ кучи / метапространства, отслеживание собственной памяти, потоков и т. Д.

BillThor 08 июл '16 в 13:56 2016-07-08 13:56 · Answer 2 · 2016-07-08 13:56

Не вся память Java находится в куче. До Java 8 существовал Permgen, часть которого перешла в Metaspace. У вас также есть стек (возможно 1 МБ) для каждого потока и код для JVM. Похоже, ваш контейнер слишком маленький.

Существуют настраиваемые параметры для Permgen и размеров стеков. Metaspace будет расти столько, сколько требуется. Существуют демонстрационные программы, которые вырастут Metaspace до огромных размеров.

Изучите модель памяти для Java перед изменением размера вашего контейнера. Сама JVM завершится с ошибкой "Недостаточно памяти", если выделенная память слишком мала. Потоки потерпят неудачу, если размер стека слишком мал.