コンテナ環境でのJavaトラブルシューティング

© 2023 Fujitsu Limited 2023/11/11 数村憲治コンテナ環境での Javaトラブルシューティング JJUG
CCC Fall 2023 @kkzr

© 2023 Fujitsu Limited 自己紹介 Jakarta EE 仕様策定委員 MicroProfile ステコミ委員
JCP Executive Committee メンバー Eclipse Foundation ボードディレクター EclipseCon、 JakartaOne、JJUGなどで登壇 3

5 コンテナ利用の動機パッケージング ⚫ 依存するものをすべてパッケージングポータビリティ ⚫ どのプラットフォームでも、開発環境と運用環境軽量 (lightweight）
⚫ VMよりは起動が速い独立性 (isolation) ⚫ 効率的にスケール可能・・・トラブルシューティングやセキュリティの動機はない © 2023 Fujitsu Limited

© 2023 Fujitsu Limited 7 コンテナのポジション (1) トラブルシューティングセキュリティ起動性能
? (1) 理想

8 コンテナイメージ小サイズ化の動機起動時間短縮 ⚫ ダウンタイムの縮小 ⚫ スケールアウト時間の短縮セキュリティ向上
⚫ 必要最小限の構成で、脆弱性が入り込む余地を小さくする依然、トラブルシューティングの動機はない © 2023 Fujitsu Limited

9 コンテナ起動時間 https://niravshah2705.medium.com/kubernetes-image-pull-optimisation-part-i-exploring-options-f79d79c3fe45 大半は、イメージのpull pullは、fetchと uncompressに分解できるイメージサイズが大きくなるほど、
uncompressに時間がかかる © 2023 Fujitsu Limited

10 コンテナでのセキュリティプラクティスベースイメージを小さくするユーザ権限を最小限にする脆弱性情報を監視するトークン・鍵をイメージに・・・ https://res.cloudinary.com/snyk/image/upload/v1551798390/Docker_Image_Security_Best_Practices_.pdf 入れない ©
2023 Fujitsu Limited

ベースイメージ内に脆弱性があるライブラリが検出された場合、そのライブラリをアプリケーションが使っていないくても対応が必要 11 イメージ内のライブラリ脆弱性イメージのビルド時・公開時に最新版を使っていても、次第に脆弱性が増える最新ベースイメージで、ビルドし直しベースイメージアプリケーション
コンテナイメージアプリで使っていなくても対応が必要 © 2023 Fujitsu Limited

13 Javaのコンテナイメージを小さくする方法 © 2023 Fujitsu Limited distroless ベースイメージを小さくする Java版もあり
jlink アプリケーションに必要なモジュールのみパッケージ JRE JDKに含まれるツール類がなくなる (jshell/jarコマンドなど) jfrは含まれる

gcr.io/distrolessで公開 ⚫ Java版もあり: `gcr.io/distroless/java17-debian12` など Microsoft 版もあり ⚫ mcr.microsoft.com/openjdk/jdk:17-distroless トラブルシューティングに使えそうなものは、
ほぼ入っていない ⚫ ls や ps もなし 14 distroless © 2023 Fujitsu Limited OS標準機能に関する調査はできない

Java機能に関する調査はできない 15 JRE © 2023 Fujitsu Limited JREにはJDKに含まれる、ほぼすべてのツールが含まれない jcmd /
jstack / jar / javac / jdb / javadoc / ・・・ JREに含まれないツール JREに含まれるツール java / keytool / rmiregistry / jfr / ・・・

16 Javaコンテナのジレンマ © 2023 Fujitsu Limited 実現手段起動時間セキュリティトラシュー
小イメージ化相性が悪い JDKツール、OSトラシューツールが使えない

? (1) (2) 小イメージサイズ理想から遠のく

docker exec ノードからコンテナにアクセスサイドカーコピーエフェメラルコンテナコンテナのトラブルシューティング方法 © 2023 Fujitsu
Limited 19

Limited 20

コンテナ内視点で、システムやプロセスにアクセス可能ただし、コンテナ内にトラブルシューティングに必要なツールが揃っているとは限らない sshのようにシステムにログインする感覚だが、実際は、namespaceの変更により、実現されている 21 docker exec
© 2023 Fujitsu Limited

iノードで管理 8個のnamespaceでプロセスを分離 ⚫ cgroup/net/ipc/uts/user/pid/time/mnt ⚫ それぞれを共有する・しないことで、コンテナの柔軟な独立性を実現 namespace 関連コマンド例
⚫ lsns ⚫ nsenter ⚫ ・・・ `docker exec` コマンドは、namespaceの変更 ⚫ `nsenter --target ${PID} --all` と同等 22 Linux の namespace © 2023 Fujitsu Limited

Limited 23

24 ノードからコンテナにアクセス © 2023 Fujitsu Limited コンテナ内のプロセスは、ホスト・ノードのプロセスとしても見える。ただし、PIDは違うどのプロセスがどのコンテナの
ものかは一見では分からないホスト・ノードにアクセス可能なら、この方法でもよいが。。。コンテナ視点 (ネットワーク設定など)でのトラシューは難しいかもホスト・ノードコンテナ JDK jstackなど Java アプリ

25 ノード上でデバッグコンテナ作成 © 2023 Fujitsu Limited K8Sノードでホストのnamespaceで動作するコンテナ kubectl debug node/{ノード名}
-it ＼ --image={イメージ} -- bash Pod コンテナコンテナ Java アプリ Pod ノード jstackなどノードの namespaceで動作

Podのnamespace共有 © 2023 Fujitsu Limited Pod 26 コンテナ1 pid mnt
共有共有プロセスへのアクセス不可コンテナ2 pid mnt uts net 共有共有

Limited 27

サイドカーでのnamespace共有 © 2023 Fujitsu Limited Pod 28 コンテナアプリ(JRE) mnt
プロセスへのアクセス可能 mnt コンテナデバッガ(JDK) pid 共有共有 uts net 共有共有 shareprocess

29 サイドカー © 2023 Fujitsu Limited Pod内にトラシュー用のイメージをサイドカーとして実行しておく ⚫ pod定義で、以下を指定
spec.shareProcessNamespace:true アプリのコンテナイメージにトラシューツールが入れる必要はなくなるが、トラブルがなくても常に起動されるのでリソースの無駄 ⚫ 開発時など、最初からトラブルが発生することが分かっていれば有用

Limited 30

コピーによるnamespace共有 © 2023 Fujitsu Limited Pod 31 プロセスへのアクセス可能 Pod net
コピー Pod net uts コンテナデバッガ(JDK) コンテナ net uts アプリ(JRE) コンテナアプリ(JRE) コンテナ pid アプリ(JRE) mnt pid mnt mnt pid uts mnt shareprocess

32 コピー © 2023 Fujitsu Limited トラブル時に、アプリコンテナをコピーして、デバッガ用コンテナを追加サイドカーより、リソースを節約できるが・・・ライブマイグレーションするわけではない
kubectl debug -it debuggee-pod ＼ --copy-to debugger-pod ＼ –share-processes debuggee-pod ＼ --image JDK-image -- bash

Limited 33

エフェメラルコンテナによる共有 © 2023 Fujitsu Limited Pod 34 プロセスへのアクセス可能 Pod net
uts mnt コンテナ net uts mnt アプリ(JRE) エフェメラルコンテナデバッガ(JDK) コンテナ mnt アプリ(JRE) pid 追加 pid

35 エフェメラルコンテナ © 2023 Fujitsu Limited トラシュー対象コンテナと、namespaceが共通なコンテナを既存Podに追加 dockerの場合 Kubernetesの場合
docker run ＼ -it --name=debugger --pid=container:jre ＼ jdk-image bash kubectl debug -it -c debugger --target debuggee ＼ --image=jdk-image debuggee -- bash

36 トラブルシューティング方法比較 © 2023 Fujitsu Limited 長所短所ノードからコンテナにアクセス
N/A ホスト権限が必要コンテナ視点の欠如 docker exec 手軽トラシューツールが使えない場合ありサイドカートラシューツール用コンテナとアプリ用コンテナが分離リソースの無駄コピートラブル時にのみコピー可能トラブルコンテナそのものを対象にできないエフェメラルコンテナトラブルコンテナにトラブル時にのみ、アクセス可能一度作ったエフェメラルコンテナを削除できない

38 Linux用ツール https://www.brendangregg.com/linuxperf.html © 2023 Fujitsu Limited 性能調査ツールアプリケーションからカーネル層
まで対応 CPUイベントベース Java VM(JIT)も対応

39 OpenJDKのperf対応 © 2023 Fujitsu Limited JDK-8080650: Enable stubs to
use frame pointers correctly JDK-8254723: Add diagnostic command to write Linux perf map file JDK-8316286: Add diagnostic command to write Linux perf jit dump file JDK-8314029: Add file name parameter to Compiler.perfmap JDK-8314027: Add code heap list parameter to Compiler.perfmap Fix:9 HotSpot VMのhsperfdata(UsePefData)とは関係ない Fix:16 open open open

40 perf使用手順 © 2023 Fujitsu Limited perfとJDKの入ったイメージを作成するオプションでFrameGraphを入れてもよい https://github.com/brendangregg/FlameGraph 1
対象Javaアプリケーションは、 “-XX:+PreserveFramePointer”を指定しPodを起動しておく 2 Step1で作成したイメージを、Step2のPodに、エフェメラルコンテナ化し追加する 3 perfコマンドで、性能情報を収集する 4 jcmdで、perf.mapを作成する 5 perfコマンドで、データ解析・表示する 6

JVMのワークロードベンチマーク手軽に起動可能複数のテストスイート 41 ルネサンスベンチマーク © 2023 Fujitsu Limited ⚫
https://renaissance.dev/ ⚫ https://github.com/renaissance-benchmarks/renaissance/ $ java -jar 'renaissance-gpl-0.15.0.jar' <benchmarks> ⚫ apache-spark / concurrency / database / functional /scala / web

42 デモ (Renaissance) © 2023 Fujitsu Limited Pod “rena” コンテナ
“rena” jcmd コピー perf エフェメラルコンテナ “perf” perf report renaissance /tmp/perf-1.map perf.data /tmp/perf-1.map レポート JRE

(1) (2) (3) エフェメラルコンテナなど小イメージサイズ

サマリ © 2023 Fujitsu Limited 45 オンプレで使えたツールが使えない場合あり (Javaコンテナのジレンマ) エフェメラルコンテナなど、複数の対応手法あり運用環境と独立したトラシュー環境も可能に
起動時間セキュリティトラシュー

コンテナ環境でのJavaトラブルシューティング

コンテナ環境でのJavaトラブルシューティング

More Decks by Kenji Kazumura

Other Decks in Technology

Featured

Transcript