Cloudflare

Kubernetes fsGroupChangePolicy: De 30 minutos a 30 segundos en reinicios de Atlantis debido a la gestión de permisos en PVs grandes

minutos

configuration-drift

causa raíz

Timeline del incidente

T+0 · on-call SRE

Se inicia un reinicio de Atlantis (kubectl rollout restart statefulset atlantis).

T+0 · Kubernetes scheduler

El pod de Atlantis se programa y se asigna a un nodo.

T+0 · kubelet

kubelet monta el PersistentVolume (PV) de Atlantis en el nodo.

T+0 · kubelet

kubelet inicia el proceso de cambio recursivo de grupo (chgrp -R) en todos los archivos y directorios del PV debido a fsGroup: 1 y fsGroupChangePolicy: Always (default).

T+0 a T+30m · kubelet

El pod permanece en estado Init:0/1 mientras kubelet completa la operación chgrp -R, que es extremadamente lenta debido a los millones de archivos en el PV.

T+30m · kubelet

La operación chgrp -R finaliza. El init container y el contenedor principal de Atlantis se inician.

T+30m

Atlantis vuelve a estar operativo.

Análisis técnico

El incidente se manifestó como reinicios excesivamente lentos (30 minutos) de la aplicación Atlantis, una herramienta crítica para la gestión de infraestructura con Terraform. La causa raíz fue una configuración predeterminada de Kubernetes, fsGroupChangePolicy: Always, combinada con un volumen persistente (PV) que había crecido hasta contener millones de archivos. Cuando un pod con securityContext.fsGroup especificado se inicia, kubelet, por defecto, realiza un chgrp -R recursivo en todo el PV para asegurar que el grupo de seguridad del pod tenga los permisos adecuados. Esta operación, aunque segura, se convierte en un cuello de botella severo en volúmenes con una gran cantidad de inodes.

La cascada de fallo se inició con el crecimiento orgánico del PV de Atlantis, acumulando un gran número de archivos a lo largo del tiempo. Cada reinicio, necesario para rotar credenciales o incorporar nuevos proyectos, desencadenaba la costosa operación de cambio de permisos. Las salvaguardas existentes, como las alertas de Kubernetes, no señalaron directamente el problema de rendimiento en el montaje del volumen, ya que el pod simplemente parecía estar en un estado de inicialización prolongado. Los logs de kubelet fueron cruciales para identificar el mensaje Setting volume ownership for ... If the volume has a lot of files then setting volume ownership could be slow, que apuntaba directamente a la causa.

El problema se agravó por la falta de visibilidad granular en las operaciones internas de kubelet sin acceder a sus logs de bajo nivel. La interfaz de usuario de Kubernetes solo mostraba un pod atascado en la fase de inicialización. La solución fue un cambio de una sola línea en la configuración del pod, estableciendo fsGroupChangePolicy: OnRootMismatch. Esta política instruye a kubelet a cambiar los permisos solo si el directorio raíz del PV no tiene los permisos correctos, evitando la costosa operación recursiva en cada reinicio. Este cambio redujo el tiempo de reinicio de 30 minutos a 30 segundos, liberando una cantidad significativa de tiempo de ingeniería.

Remediaciones y action items

✓ Se configuró `fsGroupChangePolicy: OnRootMismatch` en el `securityContext` del pod de Atlantis para evitar cambios recursivos de permisos en el PersistentVolume en cada reinicio.
✓ Se auditó la configuración de `securityContext`, específicamente `fsGroup` y `fsGroupChangePolicy`, en otras cargas de trabajo con PersistentVolumes grandes para identificar posibles cuellos de botella similares.

Lecciones para arquitectos

→ Los valores predeterminados seguros en sistemas distribuidos pueden convertirse en cuellos de botella críticos a medida que la escala o el volumen de datos aumentan.
→ La observabilidad profunda, incluyendo logs de componentes de bajo nivel como kubelet, es esencial para diagnosticar problemas de rendimiento que no son evidentes en las métricas de alto nivel.
→ Comprender cómo los sistemas de orquestación (ej. Kubernetes) interactúan con el almacenamiento persistente a nivel de sistema de archivos es crucial para optimizar el rendimiento.
→ Auditar regularmente las configuraciones de seguridad y rendimiento, especialmente aquellas que implican operaciones recursivas en grandes conjuntos de datos.
→ Priorizar la investigación de la causa raíz sobre la mitigación de síntomas (ej. extender ventanas de alerta) para resolver problemas recurrentes.

¿Te ha gustado este análisis? Recibe los 5 mejores de la semana →

Suscribirme al digest

compartir: X / Twitter LinkedIn WhatsApp