腾讯开发工程师:Linux 机器 CPU 毛刺问题排查

本文排查一个Linux 机器 CPU 毛刺问题,排查过程中不变更进程状态、也不会影响线上服务,最后还对 CPU 毛刺带来的风险进行了分析和验证。

本文中提到 CPU 统计和产生 core 文件的工具详见 simple-perf-tools 仓库。

问题描述

某服务所在机器统计显示,其 CPU 使用率在高峰时段出现毛刺。

暂时未收服务调用方的不良反馈。

初步排查

查看 CPU 1 分钟平均负载,发现 1 分钟平均负载有高有低,波动明显。说明机器上有些进程使用 CPU 波动很大。

登录机器排查进程,使用top指令。因为 CPU 会明显上升,重点怀疑使用 CPU 总时间高的进程,在打开 top 后,使用shift +t可以按照 CPU TIME 进行排序。

直观的看,有几个 spp_worker 相关的进程使用 CPU TIME 相对较高。

第一个进程因为启动的时间比较长,所以 CPU TIME 也比较大。可以使用下面的脚本,计算各个进程从各自拉起后 CPU 使用率:

uptime=`awk '{print $1}' /proc/uptime` # why is it too slow indocker? 
hertz=`zcat /proc/config.gz | grep CONFIG_HZ= |awk -F"=" '{print $2}'` 
awk -v uptime=$uptime -v hertz=$hertz -- '{printf("%d\t%s\t%11.3f\n", $1, $2, (100 *($14 + $15) / (hertz * uptime - $22)));}' /proc/*/stat 2> /dev/null | sort  -gr -k +3 | head -n 20 

看到的也是这些 spp_worker 使用 CPU 相对要高一些:

选其中的一个 PID 为 45558 的 Worker 进程监控器 CPU 使用率:

可以发现其 CPU 大部分情况很低,但是在某一个时间点会升高,持续 1 秒左右。而且大部分时间是耗费在用户态,而非系统调用。

而《Linux Agent 采集项说明 - CPU 使用率》中描述的 CPU 使用率的采样策略为:

Linux Agent 每分钟会采集 4 次 15 秒内的 CPU 平均使用率。为了避免漏采集 CPU 峰值,网管 Agent 取这一分钟内四次采集的最大值上报。

因为采样可能采到高点或者低点,当 1 分钟内出现 CPU 飙升,则会表现为尖峰;如果四次都没有出现飙升,则表现为低谷。

至此,已经能确认是这批 Worker 进程引起了这种毛刺,但具体是哪部分代码有问题还需要进一步排查。

进一步排查

前边确认了没有太多的系统调用,所以不必使用strace工具。

使用perf工具

使用perf工具进行查看。具体的命令是perf top -p 45558,在低 CPU 使用率的时候:

但是当 CPU 飚上去的时候,perf采样的位置变成如下这样:

看一下红框的位置,可以发现可能是配置更新部分有问题,因为:

  • 这个地方 Protobuf 特别多的地方,在做更新的操作(有MergeFrom,有Delete)
  • 有大量的用到了std::map(有std::_Rb_tree,有字符串比较)

通过观察perf结果的方法,虽然能够猜测大计算量的位置,但是有两个不便之处:

  • 如果 CPU 高的情况发生概率很低,人为观察比较耗时
  • 不能明确的知道,具体在哪个文件的哪个函数

使用gcore

最初统计的时候,发现 CPU 高的情况会出现 1 秒多的时间,如果发现 CPU 高负载时,直接调用gcore {pid}的命令,可以保留堆栈信息,明确具体高负载的位置。

将使用 gcore 的指令,添加到统计工具中取,设置 CPU 上门先触发。

通过gdb看了几个 coredump 文件,发现堆栈和函数调用基本一致。可以明确的看到,大量的耗时发生在了AddActInfoV3这一函数中:

到此位置,我们明确了高计算量发生的具体位置。

风险点

CPU 突然飙升是否存在风险呢?是不是计算资源充足的时候,就不会有问题呢?

这个例子中,使用的是 SPP 微线程功能,每个 Worker 进程只启用一个线程。

如果仅仅是因为高计算量卡住 CPU,正常处理请求的逻辑将很难被调度到。这样势必会造成处理请求的延迟增大,甚至有超时返回的风险。

使用 spp 的cost_stat_tool工具

利用 spp 自带的统计工具印证这一风险点,查看 worker 处理前端请求时延统计信息,执行命令./cost_stat_tool -r 1:

上边的例子中,统计发生配置更新前后的 5 秒钟内,worker 处理的 231 个请求中,有 3 个请求的处理时间超过 500ms,远高于普通请求。

使用tcpdump抓包确认

因该服务没有打开详细的日志,想要进一步验证超过 500ms 的这些请求也是正常处理的请求,而非异常请求,可以通过抓包来分析。

tcpdump -i any tcp port 20391 -Xs0 -c 5000 -w service_spp.pcap 

通过 wireshark 打开,需要过滤出返回时间 - 请求时间 > 500ms的相关请求。翻译成 wireshark 过滤器的表达式则是:

tcp.time_delta > 0.5 && tcp.dstport != 20391 

过滤出一条符合条件的请求:

在该条记录上右键 -> Follow -> TCP Stream,可以查看该请求前后的 IP 包:

上边 4 个包分别是:

  1. +0ms 客户端发送请求至服务端
  2. +38ms 服务端回复 ACK,无数据
  3. +661ms 服务端发送返回至客户端
  4. +662ms 客户端回复 ACK

详细看了包中的内容为一条普通请求,逻辑简单,应该在 20ms 内返回。而此时的该进程使用 CPU 也确实为高负载的情况:

相关推荐