别再乱开tcp_tw_recycle了!一次生产环境HTTP请求RST丢包排查实录(附完整参数检查清单)
2026/6/8 8:10:38
这是K8s中最容易被忽略但又最重要的知识点之一。90%的生产环境问题(如滚动更新时请求中断、数据丢失、资源泄漏)都和Pod生命周期配置不当有关。我会从底层原理→每个阶段的精确执行时机→实验详解→生产级最佳实践四个维度,把Pod生命周期讲透。
一、先搞懂:Pod完整生命周期全景图
Pod从创建到终止,会经历一个严格固定、不可跳过的流程。我把它总结为7个核心阶段:
1. 创建pause容器 → 2. 顺序执行所有Init容器 → 3. 启动主容器 → 4. 执行postStart钩子 ↓ 2. 发送SIGKILL强制终止 ← 6. 发送SIGTERM信号 ← 5. 运行阶段(健康探测+业务逻辑) ↑ 4. 执行preStop钩子(在SIGTERM之前)每个阶段的核心作用:
- pause容器:初始化Pod的网络和存储命名空间,为所有容器提供共享环境
- Init容器:执行主容器启动前的所有初始化工作
- 主容器:运行你的业务应用
- postStart钩子:容器启动后立即执行的自定义代码
- 运行阶段:健康探测持续执行,监控应用状态
- preStop钩子:容器终止前执行的自定义代码,用于优雅关闭
- 强制终止:如果优雅关闭超时,发送SIGKILL信号强制杀死进程
二、Init容器(初始化容器)
1. 什么是Init容器?
大白话解释:
Init容器就是Pod的**“前置任务”。它在所有主容器启动之前执行,只有当所有Init容器都成功执行完成**后,主容器才会启动。
你可以把它想象成:你要开一家餐厅,在开门营业(主容器启动)之前,需要先完成装修、采购食材、招聘员工这些准备工作(Init容器)。
2. Init容器的核心特点(必须牢记)
- 顺序执行:多个Init容器会按照定义的顺序一个接一个执行,前一个执行成功,后一个才会开始
- 必须成功:任何一个Init容器执行失败(退出码≠0),整个Pod都会重启,直到所有Init容器都成功
- 执行完就退出:Init容器执行完自己的任务后就会退出,不会和主容器一起运行
- 不支持健康探测:Init容器没有就绪性、存活性和启动探测,因为它们必须在Pod就绪之前完成
- 共享资源:Init容器和主容器共享同一个Pod的存储卷和网络命名空间
3. Init容器 vs 主容器
| 对比项 | Init容器 | 主容器 |
|---|---|---|
| 执行时机 | 主容器启动前 | Init容器全部成功后 |
| 执行方式 | 顺序执行,执行完退出 | 并发执行,持续运行 |
| 失败处理 | 导致Pod重启 | 根据重启策略处理 |
| 健康探测 | 不支持 | 支持 |
| 资源限制 | 单独设置 | 单独设置 |
4. Init容器的4大核心使用场景
这是Init容器在生产环境中最常用的4个场景:
场景1:等待依赖服务就绪
这是最常见的使用场景。比如你的应用依赖数据库和Redis,你可以用Init容器等待这些服务启动完成后,再启动主容器。
实验详解:
- 创建
init.yaml文件:
apiVersion:v1kind:Podmetadata:name:myapp-podlabels:app:myappspec:initContainers:# 第一个Init容器:等待myservice服务就绪-name:init-myserviceimage:busybox:1.28imagePullPolicy:IfNotPresentcommand:['sh','-c',"until nslookup myservice.default.svc.cluster.local; do echo waiting for myservice; sleep 2; done"]# 第二个Init容器:等待mydb服务就绪-name:init-mydbimage:busybox:1.28imagePullPolicy:IfNotPresentcommand:['sh','-c',"until nslookup mydb.default.svc.cluster.local; do echo waiting for mydb; sleep 2; done"]# 主容器:只有当两个Init容器都成功后才会启动containers:-name:myapp-containerimage:busybox:1.28command:['sh','-c','echo The app is running! && sleep 3600']- 创建Pod并查看状态:
kubectl apply-finit.yaml kubectl get pods-w你会看到:
NAME READY STATUS RESTARTS AGE myapp-pod 0/1 Init:0/2 0 10sPod一直处于Init:0/2状态,因为myservice和mydb这两个服务还不存在,Init容器一直在循环等待。
- 创建对应的服务:
# 创建myservice服务kubectl expose pod myapp-pod--name=myservice--port=80# 创建mydb服务kubectl expose pod myapp-pod--name=mydb--port=3306- 再次查看Pod状态:
kubectl get pods你会看到:
NAME READY STATUS RESTARTS AGE myapp-pod 1/1 Running 0 2m两个Init容器执行成功,主容器启动了。
场景2:生成主容器的配置文件或静态资源
Init容器可以生成主容器需要的配置文件、静态页面等资源,然后通过共享Volume传递给主容器。
实验详解:
- 创建
init-1.yaml文件:
apiVersion:v1kind:Podmetadata:name:initnginxspec:initContainers:-name:installimage:busybox:1.28imagePullPolicy:IfNotPresentcommand:-wget-"-O"-"/work-dir/index.html"# 把百度首页下载到共享Volume中-"https://www.baidu.com"volumeMounts:-name:workdirmountPath:/work-dir# 挂载共享Volumecontainers:-name:nginximage:xianchao/nginx:v1imagePullPolicy:IfNotPresentports:-containerPort:80volumeMounts:-name:workdirmountPath:/usr/share/nginx/html# 挂载同一个共享Volume到nginx的网页根目录volumes:-name:workdiremptyDir:{}# 定义一个空的共享Volume- 创建Pod并验证:
kubectl apply-finit-1.yaml kubectl get pods-owide# 访问nginx服务curl<pod-ip>你会看到:
curl命令返回了百度的首页。这说明Init容器成功下载了百度首页,并通过共享Volume传递给了nginx主容器。
场景3:执行初始化脚本
比如初始化数据库、创建目录、设置权限等。
场景4:拉取私有镜像或加密配置
Init容器可以使用特殊的权限拉取私有镜像,或者从加密的配置中心获取配置,然后传递给主容器。
5. Init容器的常见坑点
- 不要在Init容器中放长时间运行的任务:Init容器会阻塞主容器的启动,长时间运行的任务会导致Pod启动过慢
- 注意Init容器的失败重试:如果Init容器执行失败,Pod会不断重启,直到成功。如果你的Init容器依赖的服务永远不会启动,Pod会进入无限重启循环
- 多个Init容器的执行顺序:严格按照定义的顺序执行,前一个不完成,后一个不会开始
- 资源限制:Init容器也会消耗节点资源,需要合理设置资源请求和限制
三、生命周期钩子(Lifecycle Hooks)
生命周期钩子允许你在容器生命周期的特定节点插入自定义代码,执行你想要的操作。
K8s提供了两种生命周期钩子:
- postStart:容器启动后立即执行
- preStop:容器终止前执行
1. 钩子的实现方式
和健康探测一样,钩子也支持三种实现方式:
- exec:在容器内执行指定命令
- HTTPGet:向容器的指定端口和路径发送HTTP GET请求
- TCPSocket:尝试与容器的指定端口建立TCP连接
2. postStart钩子
执行时机
容器创建后立即执行,和容器的主进程并发执行。
⚠️非常重要的细节:
postStart钩子和主进程是同时启动的,K8s不保证postStart会在主进程之前执行完成。
作用
- 环境准备:创建目录、设置权限、修改配置
- 资源部署:复制文件、下载依赖
- 通知其他系统:向监控系统或注册中心发送服务启动通知
实验详解
- 创建
pre-start.yaml文件:
apiVersion:v1kind:Podmetadata:name:life-demospec:containers:-name:lifecycle-demo-containerimage:xianchao/nginx:v1imagePullPolicy:IfNotPresentlifecycle:postStart:exec:command:["/bin/sh","-c","echo 'Hello from postStart hook' > /usr/share/nginx/html/test.html"]ports:-containerPort:80- 创建Pod并验证:
kubectl apply-fpre-start.yaml kubectl get pods# 访问test.htmlcurl<pod-ip>/test.html你会看到:
Hello from postStart hook这说明postStart钩子成功执行,生成了test.html文件。
坑点
- 执行顺序不确定:postStart和主进程并发执行,不能依赖它在主进程之前完成
- 失败会导致容器重启:如果postStart钩子执行失败(退出码≠0),K8s会杀死容器并根据重启策略重启它
- 没有超时时间:postStart钩子没有单独的超时时间,它会一直运行直到完成,这可能会阻塞容器的启动
3. preStop钩子(生产环境必用!最重要的钩子)
执行时机
容器被终止前执行,是同步执行的。也就是说:
- K8s先执行preStop钩子
- 只有当preStop钩子执行完成后,才会向容器的主进程发送SIGTERM信号
- 如果preStop钩子执行超时(超过
terminationGracePeriodSeconds),K8s会直接发送SIGKILL信号强制杀死容器
核心作用:实现应用的优雅关闭
什么是优雅关闭?
优雅关闭就是让应用在退出之前,有机会完成以下工作:
- 完成正在处理的所有请求
- 关闭数据库连接、文件句柄等资源
- 保存内存中的数据到磁盘
- 从注册中心注销服务
- 通知其他系统自己即将下线
如果没有优雅关闭,应用会被突然杀死,导致:
- 正在处理的请求中断,用户体验差
- 数据丢失或不一致
- 资源泄漏
- 服务注册中心还有下线服务的信息,导致请求被转发到已经不存在的服务
实验详解:优雅关闭Nginx
Nginx默认收到SIGTERM信号后会立即退出,不会等待正在处理的请求完成。我们可以用preStop钩子让Nginx优雅关闭。
- 创建
prestop-nginx.yaml文件:
apiVersion:v1kind:Podmetadata:name:nginx-gracefulspec:containers:-name:nginximage:xianchao/nginx:v1imagePullPolicy:IfNotPresentports:-containerPort:80lifecycle:preStop:exec:command:["/usr/sbin/nginx","-s","quit"]# 优雅关闭nginxterminationGracePeriodSeconds:30# 优雅退出时间,默认30秒- 验证优雅关闭:
kubectl apply-fprestop-nginx.yaml kubectl get pods# 删除Pod,观察终止时间timekubectl delete pod nginx-graceful你会看到:
Pod会在大约1秒内终止,而不是立即终止。这是因为preStop钩子执行了nginx -s quit命令,让Nginx优雅关闭,完成正在处理的请求后再退出。
生产级示例:Java应用的优雅关闭
Java应用默认收到SIGTERM信号后会立即退出,不会等待正在处理的请求完成。我们可以用preStop钩子向Java应用发送SIGTERM信号,并给它足够的时间完成处理。
apiVersion:v1kind:Podmetadata:name:springboot-gracefulspec:containers:-name:springbootimage:my-springboot-app:v1ports:-containerPort:8080lifecycle:preStop:exec:command:["/bin/sh","-c","kill -15 1"]# 向PID为1的进程发送SIGTERM信号# 给Java应用足够的时间完成正在处理的请求terminationGracePeriodSeconds:60四、Pod终止过程完整拆解(90%的人都搞不懂)
这是K8s中最复杂也最容易出错的部分。我把Pod从删除到完全终止的过程拆解为精确的9个步骤,每个步骤的执行顺序和时间点都不能错。
当你执行kubectl delete pod <pod-name>时,K8s内部会发生以下事情:
- API Server接收删除请求:kubectl把删除请求发送给kube-apiserver,apiserver把Pod的状态更新为
Terminating - 设置优雅退出计时器:K8s开始计时,默认时间是30秒(可以通过
terminationGracePeriodSeconds修改) - 同时执行三个操作:
- 操作1:endpoints控制器从所有对应Service的Endpoint列表中移除这个Pod的IP,不再转发流量给它
- 操作2:kubelet收到Pod被标记为
Terminating的通知,开始执行关闭流程 - 操作3:如果Pod定义了preStop钩子,kubelet会在容器内执行preStop钩子
- 等待preStop钩子执行完成:kubelet会等待preStop钩子执行完成,或者等待优雅退出计时器超时
- 发送SIGTERM信号:preStop钩子执行完成后,kubelet向容器内的所有进程发送SIGTERM信号,通知进程退出
- 等待进程正常退出:kubelet继续等待,直到进程正常退出,或者优雅退出计时器超时
- 发送SIGKILL信号:如果优雅退出计时器超时,还有进程没有退出,kubelet会发送SIGKILL信号强制杀死所有剩余进程
- 清理容器资源:所有进程都退出后,kubelet清理容器的网络、存储等资源
- 通知API Server:kubelet通知kube-apiserver删除Pod的信息,Pod从API Server中消失
非常重要的时间线:
t=0: 用户执行kubectl delete pod t=0: Pod被标记为Terminating t=0: 从Service的Endpoint列表中移除Pod t=0: 执行preStop钩子 t=preStop完成时间: 发送SIGTERM信号 t=terminationGracePeriodSeconds: 发送SIGKILL信号⚠️关键结论:
preStop钩子的执行时间是包含在terminationGracePeriodSeconds里面的。如果你的preStop钩子需要执行10秒,那么留给主进程处理SIGTERM信号的时间就只有terminationGracePeriodSeconds - 10秒。
五、Pod完整生命周期流程总结
现在我们把所有阶段串联起来,形成一个完整的Pod生命周期流程图:
1. 用户提交Pod创建请求 → API Server验证并存储到etcd 2. Scheduler调度Pod到合适的节点 3. Kubelet在节点上创建Pod ↓ 4. 创建pause容器,初始化网络和存储命名空间 ↓ 5. 顺序执行所有Init容器 ↓ 所有Init容器执行成功 6. 启动所有主容器 ↓ 同时 7. 执行postStart钩子 ↓ 8. 启动startupProbe探测 ↓ startupProbe成功 9. 启动livenessProbe和readinessProbe探测 ↓ readinessProbe成功 10. Pod被标记为Ready,加入Service的Endpoint列表,开始接收流量 ↓ 运行阶段 11. 用户提交Pod删除请求 ↓ 12. Pod被标记为Terminating,从Service的Endpoint列表中移除 ↓ 13. 执行preStop钩子 ↓ preStop执行完成 14. 向主进程发送SIGTERM信号 ↓ 进程正常退出 或 超时 15. 发送SIGKILL信号强制杀死剩余进程 ↓ 16. 清理所有资源,Pod完全删除六、生产环境最佳实践
- 所有依赖外部服务的应用都必须配置Init容器:等待依赖服务就绪后再启动主容器,避免应用启动失败
- 优先使用Init容器而不是postStart钩子做初始化工作:Init容器是顺序执行的,并且必须成功才能启动主容器,比postStart更可靠
- 所有生产应用都必须配置preStop钩子实现优雅关闭:这是避免滚动更新时请求中断的最有效方法
- 根据应用的实际情况调整terminationGracePeriodSeconds:
- 简单的Web应用:30秒足够
- Java应用:60-120秒
- 数据库应用:300秒以上
- 不要在preStop钩子中执行长时间运行的任务:preStop钩子的执行时间包含在优雅退出时间内,长时间运行的任务会导致应用被强制杀死
- 合理设置Init容器的资源限制:避免Init容器占用过多资源,影响主容器的启动
- 不要依赖postStart和主进程的执行顺序:postStart和主进程是并发执行的,执行顺序不确定
七、常见问题排查
问题1:Pod一直处于Init状态
排查步骤:
- 查看Pod的事件:
kubectl describe pods <pod-name> - 查看Init容器的日志:
kubectl logs <pod-name> -c <init-container-name> - 常见原因:
- Init容器依赖的服务不存在
- Init容器的命令执行失败
- 镜像拉取失败
问题2:Pod删除很慢
排查步骤:
- 检查是否配置了preStop钩子,以及preStop钩子是否执行超时
- 检查
terminationGracePeriodSeconds是否设置得太长 - 检查应用是否正确处理了SIGTERM信号
- 解决方法:
- 优化preStop钩子,减少执行时间
- 调整
terminationGracePeriodSeconds为合适的值 - 修改应用代码,正确处理SIGTERM信号
问题3:滚动更新时出现请求中断
原因:
- 没有配置preStop钩子,应用被突然杀死
- 没有配置readinessProbe,新Pod还没启动完成就开始接收流量
- 优雅退出时间设置得太短
解决方法: - 配置preStop钩子实现优雅关闭
- 正确配置readinessProbe
- 调整
terminationGracePeriodSeconds为合适的值