kprobe分析内核kworker占用CPU 100%问题总结_dangran8888的博客_kworker占用大量io

link之家
链接快照平台
输入网页链接，自动生成快照
标签化管理网页链接
一、系统问题说明

负载均衡模块独立主机部署，运行BIRD、quagga、nftbl、contiv、ovs等进程，实现网络NAT功能。
内核版本：centos7-4.19.8
在调用nftlb写入nft规则的过程中，发现部分主机性能低（因操作系统为centos且内核进行了升级，红帽服务不支持。）
过程如下：
1、执行命令：
time ip netns exec vpc067871207-lbalance curl -H "Key: spidernet" -X POST http://127.0.0.1:06787/farms --data '{"farms":[{"name":"b1","family":"ipv4","virtual-addr":"XX.XX.XX.XX","virtual-ports":"1001","mode":"snat","protocol":"tcp","scheduler":"weight","state":"up","backends":[{"name":"bck01","ip-addr":"192.168.0.1","port":"80","weight":"5","mark":"0x00000001","priority":"1","state":"up"}]}]}'
该命令正常应该在0.2ms内完成，但在部分主机上耗时到2、3s。
 2、利用strace命令跟踪： 
strace -tt -T -v -f  -s 1024 -p 2727846
发现耗时在sendmsg(AF_NETLINK…)函数上，有长有短，短的在几十us，但有四个长在0.5s左右的sendmsg，如：
 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eAfNbx6U-1584208688223)(en-resource://database/1982:1)]
 3、继续分析主机进程，发现一个进程kworker一直100%
 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QxeEl9NA-1584208688224)(en-resource://database/1984:1)]
 4、观察主机性能，nmon如下：[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ewVOFHNl-1584208688225)(en-resource://database/1990:1)]
 此时主机内存、cpu、网络、存储都很空闲，但中断比正常主机高1~2倍。
 5、用perf工具查看kworker耗时
 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CEyDfmjJ-1584208688226)(en-resource://database/1988:1)]
 6、网卡中断，经确认（/proc/interrupts）网卡中断分布在每个cpu上，网络中断均衡
 7、继续ftrace，分析事件： 
cd /sys/kernel/debug/tracing
echo wakeup_rt > current_tracer
echo 0 > options/function-trace
echo 1 > events/enable
echo 1 > tracing_on
echo 0 > tracing_max_latency
chrt -f 5 sleep 1
echo 0 > tracing_on
cat trace
结果没有针对性，不具备进一步分析条件。初步问题分析完了，下步进行内核态深度分析。 
内核该kworker进程的性能影响了work处理效率，导致内核较慢，响应sendmsg的work延迟，导致curl耗时长。 
二、内核性能分析、跟踪工具简述
 
ftrace、kprobe、perf、operf/oprofile、systemtap都是跟踪内核的好工具，但有所区别。
 Linux内核提供的基础设施： 
tarcepoints => 静态探测点
kprobe => 内核态动态探测点(kernel/kprobe.c, example:sample/kprobe)
uprobe => 用户态动态探测点(kernel/events/uprobe.c) 
ftrace是后面工具的基础，但使用比较繁琐
perf可图形化展示函数耗时，但不能自定义跟踪调试。
operf/oprofile依赖vmlinux，并且得带有debug信息。
systemtap依赖太多，kernel-debuginfo、内核编译参数等等，生产环境基本不可用。 
kprobe作为轻量级内核调试工具，在诊断内核bug时有着先天独厚的优势，相关其他工具，kprobe有如下优点：
 1、不用更新内核
 2、可以以模块的形式加载进内核，用完后直接卸载即可，不会对内核造成污染
 3、动态跟踪，自由构造，灵巧轻便。 
经过大量实验探索，依赖少并可深入自定义的，kprobe胜出。 
三、利用kprobe分析kworker行为
 
调试源码见附录，kprobe使用及原理自行学习，本文不做基础介绍，重点在思路、步骤，主要展示方法论的形成过程。
 准备工作，说明下kprobe的参数示例： 
    struct file *file = (struct file *)regs->di;
    //因为x86的参数传递规则是di，si，dx，cx，r8，r9，所以di就是vfs_write的第一个参数。arm默认是r0，r1，r2，r3，相应的取r0
看看kworker在做什么： 
[root@04b280305 kprobe]# cat /proc/352560/stack
[<0>] insert_work+0x6e/0xa0
[<0>] __queue_work+0x131/0x3b0
[<0>] queue_work_on+0x28/0x40
[<0>] rht_deferred_worker+0x8b/0x3e0
[<0>] process_one_work+0x179/0x390
[<0>] worker_thread+0x4f/0x3e0
[<0>] kthread+0x105/0x140
[<0>] ret_from_fork+0x35/0x40
[<0>] 0xffffffffffffffff 
可知，rht_deferred_worker是特定任务，需要重点分析。
 写kprobe代码对rht_deferred_worker函数加探针，分析rht_deferred_worker事件（/var/log/messages，当时dmesg没记录被覆盖了，所以从messages中直接看）： 
[root@04b280305 kprobe]# grep rht_deferred_worker /var/log/messages |tail
Mar  9 21:35:14 04b280305 kernel: <rht_deferred_worker> pre_handler: 813f99c0
Mar  9 21:35:14 04b280305 kernel: <rht_deferred_worker> post_handler: 813f99c0
Mar  9 21:35:14 04b280305 kernel: <rht_deferred_worker> pre_handler: 813f99c0
Mar  9 21:35:14 04b280305 kernel: <rht_deferred_worker> post_handler: 813f99c0
Mar  9 21:35:14 04b280305 kernel: <rht_deferred_worker> pre_handler: 813f99c0 
看看813f99c0是什么work： 
[root@04b280305 kprobe]# cat /proc/kallsyms |grep 813f99c0
ffffffff813f99c0 t rht_deferred_worker 
分析rht_deferred_worker源码，得知在重新分配或者收缩失败时，会触发插入work：rht_deferred_worker，此处是关键。 
static void rht_deferred_worker(struct work_struct *work)
    struct rhashtable *ht;
    struct bucket_table *tbl;
    int err = 0;
    ht = container_of(work, struct rhashtable, run_work);
    mutex_lock(&ht->mutex);
    tbl = rht_dereference(ht->tbl, ht);
    tbl = rhashtable_last_table(ht, tbl);
    if (rht_grow_above_75(ht, tbl))
        err = rhashtable_rehash_alloc(ht, tbl, tbl->size * 2);
    else if (ht->p.automatic_shrinking && rht_shrink_below_30(ht, tbl))
        err = rhashtable_shrink(ht);
    else if (tbl->nest)
        err = rhashtable_rehash_alloc(ht, tbl, tbl->size);
    if (!err)//出错时，返回非0，执行不到
        err = rhashtable_rehash_table(ht);
    mutex_unlock(&ht->mutex);
    if (err)
        schedule_work(&ht->run_work);
        /*上行是关键，造成了死循环*/
确认下是alloc失败还是shrink失败：
 写kprobe代码对 rhashtable_rehash_alloc函数加探针，查看结果： 
Mar  9 22:50:03 04b280305 kernel: Planted kprobe at rhashtable_rehash_alloc+0x0/0x50
Mar  9 22:50:07 04b280305 kernel: kprobe at rhashtable_rehash_alloc+0x0/0x50 unregistered
只执行了一次，说明不是alloc的问题，继续分析shrink，rhashtable_shrink不是系统导出符号，不能kprobe，看下源码： 
static int rhashtable_shrink(struct rhashtable *ht)
    struct bucket_table *old_tbl = rht_dereference(ht->tbl, ht);
    unsigned int nelems = atomic_read(&ht->nelems);
    unsigned int size = 0;
    if (nelems)
        size = roundup_pow_of_two(nelems * 3 / 2);
    if (size < ht->p.min_size)
        size = ht->p.min_size;
    if (old_tbl->size <= size)
        return 0;
    if (rht_dereference(old_tbl->future_tbl, ht))
        return -EEXIST;
    return rhashtable_rehash_alloc(ht, old_tbl, size);
写了个test_shirnk的探测函数，一安装服务器崩了…
 去看看高版本内核，从5.1版本解决了此问题： 
static void rht_deferred_worker(struct work_struct *work)
	struct rhashtable *ht;
	struct bucket_table *tbl;
	int err = 0;
	ht = container_of(work, struct rhashtable, run_work);
	mutex_lock(&ht->mutex);
	tbl = rht_dereference(ht->tbl, ht);
	tbl = rhashtable_last_table(ht, tbl);
    if (rht_grow_above_75(ht, tbl))
		err = rhashtable_rehash_alloc(ht, tbl, tbl->size * 2);
    else if (ht->p.automatic_shrinking && rht_shrink_below_30(ht, tbl))
    	err = rhashtable_shrink(ht);
	else if (tbl->nest)
		err = rhashtable_rehash_alloc(ht, tbl, tbl->size);
    /*此块代码，修复了BUG*/  
	if (!err || err == -EEXIST) {
		int nerr;
		nerr = rhashtable_rehash_table(ht);
		err = err ?: nerr;
mutex_unlock(&ht->mutex);
if (err)
		schedule_work(&ht->run_work);
BUG说明：
 rhashtable: Still do rehash when we get EEXIST
 As it stands if a shrink is delayed because of an outstanding
 rehash, we will go into a rescheduling loop without ever doing
 the rehash. 
This patch fixes this by still carrying out the rehash and then
 rescheduling so that we can shrink after the completion of the
 rehash should it still be necessary. 
The return value of EEXIST captures this case and other cases
 (e.g., another thread expanded/rehashed the table at the same
 time) where we should still proceed with the rehash. 
Fixes: da20420 (“rhashtable: Add nested tables”) 
英文不知所云，我自己的理解是：
 哈希表收缩时（rhashtable_shrink），会去判断该表是否被间接引用，如果存在则不缩容，返回-EEXIST。
 v5.1之前的版本，该返回值会触发重新生成一个rht_deferred_worker的work，这样就形成了递归，如果间接引用一直存在则形成死循环，导致CPU 100%。
 v5.1之后的版本，该返回值会触发重新哈希，若此期间间接引用还存在则返回0，不再会触发产生新rht_deferred_worker的work，以此来解决BUG。 
探测完注意尽快卸载驱动，影响性能，会打印大量日志，并且可能会把服务器搞崩 
四、打patch，修复BUG
 
从https://www.kernel.org下载patch文件，升级解决。 
$ diff -up linux-4.19.8-1/lib/rhashtable.c linux-4.19.8-2/lib/rhashtable.c > rht_patch
$ patch -p1 < rht_patch 
五、总结回顾
 
遇到操作系统性能或功能问题，可采用如下步骤定位： 
通过top工具，确定问题进程
使用strace分析系统调用耗时或阻塞情况
使用nmon工具，查看系统中断、负载、cpu、内存、IO、net等情况，分析是否正常，初步判断可能存在的问题
使用perf工具，分析函数栈性能
查询资料、阅读相关源码，初步判断位置
若问题可在测试环境复现，使用systemtap工具进行跟踪分析
若问题在生产环境上可遇不可求，使用kprobe工具进行动态分析
定位问题后，查看高版本是否修复
若修复则通过kernel官网patch升级；未修复时，若自己可修，则自改自测，否则git上提交bug 
内核调试博大精深，本文非常有局限性，具体问题还得具体分析 
推荐几个链接：
 https://zhuanlan.zhihu.com/p/71437161
 https://www.csdndoc.com/article/8015807
 https://blog.csdn.net/yuntongsf/article/details/78707576 
附kprobe探测代码
 
Talk is cheap，show you the code！
 kprobe_kworker.c 
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/kprobes.h>
#define MAX_SYMBOL_LEN    64
static char symbol[MAX_SYMBOL_LEN] = "rht_deferred_worker";
//rht_deferred_worker可根据需要改成要探测的函数
module_param_string(symbol, symbol, sizeof(symbol), 0644);
/* For each probe you need to allocate a kprobe structure */
static struct kprobe kp = {
    .symbol_name    = symbol,
/* kprobe pre_handler: called just before the probed instruction is executed */
static int handler_pre(struct kprobe *p, struct pt_regs *regs)
#ifdef CONFIG_X86
pr_info("<%s>,pid = %ld\n",current->comm, current->pid);
struct work_struct *work = (struct work_struct *)regs->di;
pr_info("<%s> pre_handler: %x\n",p->symbol_name,work->func);
#endif
#ifdef CONFIG_ARM64
    pr_info("<%s> pre_handler: p->addr = %pF, pc = 0x%lx,"
            " pstate = 0x%lx\n",
        p->symbol_name, p->addr, (long)regs->pc, (long)regs->pstate);
#endif
    /* A dump_stack() here will give a stack backtrace */
    return 0;
/* kprobe post_handler: called after the probed instruction is executed */
static void handler_post(struct kprobe *p, struct pt_regs *regs,
                unsigned long flags)
#ifdef CONFIG_X86
struct work_struct *work = (struct work_struct *)regs->di;
pr_info("<%s> post_handler: %x\n",p->symbol_name,work->func);
//    pr_info("<%s> post_handler: p->addr = %pF, flags = 0x%lx\n",
 //       p->symbol_name, p->addr, regs->flags);
#endif
#ifdef CONFIG_ARM64
    pr_info("<%s> post_handler: p->addr = %pF, pstate = 0x%lx\n",
        p->symbol_name, p->addr, (long)regs->pstate);
#endif
 * fault_handler: this is called if an exception is generated for any
 * instruction within the pre- or post-handler, or when Kprobes
 * single-steps the probed instruction.
static int handler_fault(struct kprobe *p, struct pt_regs *regs, int trapnr)
    pr_info("fault_handler: p->addr = %pF, trap #%dn", p->addr, trapnr);
    /* Return 0 because we don't handle the fault. */
    return 0;
static int __init kprobe_init(void)
    int ret;
    kp.pre_handler = handler_pre;
    kp.post_handler = handler_post;
    kp.fault_handler = handler_fault;
    ret = register_kprobe(&kp);
    if (ret < 0) {
        pr_err("register_kprobe failed, returned %d\n", ret);
        return ret;
    pr_info("Planted kprobe at %pF\n", kp.addr);
    return 0;
static void __exit kprobe_exit(void)
    unregister_kprobe(&kp);
    pr_info("kprobe at %pF unregistered\n", kp.addr);
module_init(kprobe_init)
module_exit(kprobe_exit)
MODULE_LICENSE("GPL");
Makefile 
obj-m := kprobe_kworker.o
KBUILD_EXTRA_SYMBOLS:=/mod_a/Module.symvers
CROSS_COMPILE=''
KDIR := /lib/modules/4.19.8-1.el7.elrepo.x86_64/build
        make -C $(KDIR) M=$(PWD) modules
clean:
        rm -f *.ko *.o *.mod.o *.mod.c .*.cmd *.symvers  modul*
insmod kprobe_kworker.ko
rmmod kprobe_kworker.ko 
dmesg查看结果 
dmesg 
什么是kworker？kworker表示进行“工作”（处理系统调用）的Linux内核进程。在进程列表中可以有多个：kworker/0:1在第一个CPU内核上kworker/1:1是一个，在第二个CPU内核上是一个，依此类推。
为什么kworker占用您的CPU？...
				问题描述                     某一台服务器上面 程序在每小时内偶尔丢包 排查服务器所有性能瓶颈之后发现一个奇怪的问题 程序丢包前后 会有IO过高的情况 于是使用iotop命令排查是哪个程序偶尔占用过高的磁盘IO所用命令                   iotop相关参数     -o：只显示有io操作的进程
    -b：批量显示，无交互，主要用作记录到文件
最近用华为鲲鹏跑了一段时间服务后，出现了系统负载40多居高不下的情况，一排查发现是kworker进程占用CPU很高，而且还杀不掉。
通过华为的监控发现是磁盘I/O很高，重启服务器后能短暂解决问题，但是过几天负载还是会很高，导致很多进程被系统杀死。
但是出现问题的就一台鲲鹏，其他的鲲鹏没有出现，通过比较发现内核版本不一样,执行uname -a输出如下
正常的鲲鹏
Linux kpv7-pbx-0001 4.18.0-80.7.2.el7.aarch64 #1 SMP Thu Sep 12 16:1
				收到IO占用高告警
系统信息：Linux version 2.6.32-696.18.7.1.el6.ucloud.x86_64 (root@59c188f3c79d)(gcc version 4.4.6 20120305
(Red Hat 4.4.6-5) (GCC) ) #1 SMP Fri Jan 5 16:48:58 CST 2018
1、到机器上看到io使用率忽高，同时iow...
				Linux操作系统load average过高，kworker占用较多cpu
今天巡检发现，mc1的K8S服务器集群有些异常，负载不太均衡。其中10.2.75.32-34，49的load average值都在40以上，虽然机器的cpu核数都是40或48核不算严重，但也值得重视。
登陆机器查看，执行top发现，cpu的使用率接近40%，sys有20-30，user有10-20。也发现有大量...
				服务器使用的是Centos7.2 64位系统。发现服务器异常，一般先想到用top命令查看占用CPU高的进程，但如果是高手入侵，可能会替换掉你系统的一些重要命名。所以建议装系统后，把诸如/usr/bin目录的top、ps、kill等重要命令先备份好。一旦发现被入侵，先检查这些命令是否被篡改，如果你使用凶手的kill，当然怎么也杀不死对方了。
这里发现没异常，直接使用top命令：
这里是一个名为su...
一段时间没有上来看过了，前两天上来发现页面加载速度变慢了很多，查看cpu占用发现几乎是100%，再用top去查看，发现有好几个名叫kworkerds的进程，百度了一下才发现原来这是个恶意挖矿病毒，感染上后会给你的主机添加一个定时任务，不断去远程获取脚本然后执行，后来百度了一番在这里记录下解决步骤。
top查看进程信息，发现有几个名为kworkerds的进程，即为挖矿进程
使用...
				在上一篇博文Linux系统发现占用CPU达100%的进程并处理 里面以为已经把挖矿程序sustse处理干净了，可是没过两天又收到阿里云短信提醒，说服务器有问题，难道还有后门吗？也多亏阿里云给出提示“出现了可疑安全事件：Linux共享库文件预加载配置文件可疑篡改”。网上查了查相关内容，原来这个后门是动态链接库预加载机制造成的。
动态链接库预加载机制是系统提供给用户运行自定义动态链接库的一种方式，在可...
大部分格式都是 kworker /u2:0或者 kworker /0:0H, 查看资料得知：
内核中有很多kworker，有绑定cpu的和不绑定cpu的，它支持cpu的hotplug时work的迁移。
u：是unbound的缩写，代表没有绑定特定的CPU，kworker /u2:0中的 2 是 work_pool 的I...