容器中的狀態檢測：核心檢測項目與實踐指南

一、容器生命周期狀態

• 檢測目標：確認容器是否按預期運行。
• 關鍵指標：
  • 運行狀態：Running、Exited、Restarting（通過 docker ps 或 kubectl get pods 查看）。
  • 重啟次數：頻繁重啟可能表明應用崩潰（如 Kubernetes Pod 的 RestartCount）。
  • 存活時間：異常短壽可能由資源不足或健康檢查失敗導致。
• 工具示例：
  • Docker CLI：docker inspect --format='{{.State.Status}}' <容器ID>。
  • Kubernetes：kubectl describe pod <pod名稱> 查看事件日志。

二、資源使用監控

• 檢測目標：避免資源耗盡導致容器故障。
• 核心指標：
  • CPU 使用率：超過限制會觸發限流（如 Kubernetes 的 throttled 狀態）。
  • 內存占用：逼近限制時可能觸發 OOM Killer 殺死進程。
  • 磁盤 I/O 和空間：日志或臨時文件占滿磁盤會導致服務異常。
  • 網絡帶寬：高流量可能引發丟包或延遲。
• 檢測工具：
  • Prometheus + Grafana：通過 Node Exporter 和 cAdvisor 收集指標。
  • 命令：docker stats 或 kubectl top pod。

三、應用健康狀態

• 檢測目標：確保容器內應用服務正常。
• 檢測方法：
  • HTTP/TCP 探針：檢測端口響應（如 curl http://localhost:8080/healthz）。
  • 自定義命令檢查：執行容器內腳本驗證服務狀態（如數據庫連接測試）。
  • 就緒（Readiness）與存活（Liveness）探針（Kubernetes）：
    • 存活探針：失敗時重啟容器。
    • 就緒探針：失敗時從服務端點移除容器。
• 配置示例（Kubernetes YAML）：Yaml
  livenessProbe: httpGet: path: /healthz port: 8080 initialDelaySeconds: 15 periodSeconds: 10

四、網絡狀態檢測

• 檢測目標：保障容器內外部通信正常。
• 關鍵項：
  • 端口監聽：確認服務綁定到正確端口（netstat -tuln）。
  • 跨容器通信：DNS 解析、服務發現（如 Kubernetes Service 是否正常）。
  • 外部連通性：訪問第三方 API 或依賴服務的延遲與丟包率。
• 工具建議：
  • telnet 或 nc 測試端口可達性。
  • Istio 或 Linkerd 實現服務網格層監控。

五、安全狀態檢測

• 檢測目標：預防漏洞與配置錯誤。
• 檢測項目：
  • 鏡像漏洞掃描：使用 Clair、Trivy 掃描鏡像已知 CVE。
  • 運行時安全：檢測異常進程、文件篡改（如 Falco）。
  • 合規性檢查：核對 Dockerfile 最佳實踐（如非 root 用戶運行）。
• 工具鏈：
  • 鏡像掃描：集成到 CI/CD 管道（如 Jenkins 調用 Trivy）。
  • 運行時防護：Falco 監控系統調用并告警。

六、日志與事件監控

• 檢測目標：快速定位故障根源。
• 策略：
  • 日志聚合：使用 ELK（Elasticsearch、Logstash、Kibana）或 Loki 集中管理。
  • 關鍵字告警：設置規則捕捉 ERROR、Exception 等日志。
  • Kubernetes 事件：監控 kubectl get events 中的調度失敗、鏡像拉取錯誤等。

七、存儲狀態檢測

• 檢測目標：確保持久化數據可靠。
• 檢測項：
  • 存儲卷使用率：監控掛載目錄的磁盤空間（如 df -h）。
  • 持久卷（PV）狀態：在 Kubernetes 中檢查 PV 的 Bound 或 Failed 狀態。
  • 數據一致性：分布式存儲系統的副本健康度（如 Ceph、MinIO）。

八、編排層狀態（Kubernetes 場景）

• 檢測目標：保障集群調度與預期的狀態一致。
• 關鍵指標：
  • Pod 狀態：Pending、CrashLoopBackOff 表明鏡像或資源問題。
  • 副本數：Deployment 的 Ready 副本是否匹配預期。
  • 滾動更新狀態：是否因新版本故障導致回滾。
• 診斷命令：
  • kubectl get deployments 查看副本可用性。
  • kubectl rollout status deployment/<名稱> 跟蹤更新進度。

實施建議：構建容器監控體系

1. 分層監控：從基礎設施（節點資源）、容器運行時（Docker）、編排層（Kubernetes）到應用層逐級覆蓋。
2. 自動化告警：通過 Prometheus Alertmanager 或 Datadog 設置閾值告警。
3. 黃金指標（RED/Golden Signals）：
   • Rate（請求速率）、Errors（錯誤率）、Duration（延遲）。
   • 適用于微服務監控，快速定位性能瓶頸。