应用程序网关如何防止将请求发送到最近终止的 pods?

How does Application Gateway prevent requests being sent to recently terminated pods?

我目前正在 Azure 中研究和试验 Kubernetes。我正在玩 AKS 和应用程序网关入口。据我了解,当将 pod 添加到服务时,端点会更新,入口控制器会不断轮询此信息。随着新端点的添加,AG 也会更新。当它们被删除时,AG 也会更新。

添加 pods 时,在 Pod 收到请求之前将其添加到 AG 时会有一小段延迟。但是,当 pods 被删除时,更新延迟是否会导致请求被转发到不再存在的 pod?

如果没有,AG/K8S如何保证这一点?在这种情况下,最终客户可能会遇到什么行为?

Azure 应用程序网关入口是 kubernetes 部署的入口控制器,它允许您使用本机 Azure 应用程序网关将您的应用程序公开到互联网。其目的是将流量直接路由到 pods。同时,所有关于 pods 可用性、调度和一般管理的问题都在 kubernetes 本身。

当 pod 收到要终止的命令时,它不会立即发生。在 kube-proxies 将更新 iptables 以停止将流量定向到 pod 之后。也可能有入口控制器或负载均衡器将连接直接转发到 pod(应用程序网关就是这种情况)。这个问题不可能完全解决,但是增加5-10秒的延迟可以显着提升用户体验。

如果您需要终止或缩减您的应用程序,您应该考虑以下步骤:

  • 等待几秒钟,然后停止接受连接
  • 关闭所有不在请求中间的保持连接
  • 等待所有活动请求完成
  • 完全关闭应用程序

以下是确切的 kubernetes 机制,可帮助您解决问题:

  • preStop 钩子 - 这个钩子在容器终止之前立即被调用。这对于正常关闭应用程序非常有帮助。例如,在 preStop 挂钩中使用“sleep 5”命令的简单 sh 命令可以防止用户看到“连接被拒绝错误”。在 pod 收到 API 终止请求后,需要一些时间来更新 iptables 并让应用程序网关知道此 pod 已停止服务。由于 preStop 挂钩在 SIGTERM 信号之前执行,因此将有助于解决此问题。 (示例可以在 attach lifecycle event 中找到)

  • readiness probe - 这种类型的探测总是在容器上运行,并定义 pod 是否准备好接受和服务请求。当容器的就绪探测 returns 成功时,这意味着容器可以处理请求并将其添加到端点。如果就绪探测失败,则 Pod 无法处理请求,并且将从端点对象中删除。当应用程序需要一些时间加载时,它与新创建的 pods 以及如果应用程序需要一些时间来处理已经 运行 pods 一起工作得很好。 在从端点移除之前,就绪探测器应该会失败几次。可以使用 failureTreshold 字段将此数量降低到只有一次失败,但是它仍然需要检测一次失败的检查。 (有关如何设置的更多信息可以在 configure liveness readiness startup probes 中找到)

  • startup probe - 对于某些在首次初始化时需要额外时间的应用程序,正确设置就绪探测参数而不损害来自应用程序的快速响应。 使用 failureThreshold * periodSeconds 字段将提供这种灵活性。

  • terminationGracePeriod - 如果应用程序需要超过默认的 30 秒延迟才能正常关闭,也可以考虑(例如,这对于有状态应用程序很重要)