背景介绍

在 CCE 集群中，网络异常可能导致数据包被重复发送，既消耗带宽和 CPU，也可能触发非幂等业务的重复执行。本演练用于模拟此场景并验证系统的处理能力与幂等性。

基本原理

通过增加TC和Netem规则模拟Pod内网络包重复。

风险告知

此演练具有高度破坏性，请务必在充分了解其风险后，谨慎操作，强烈建议通过动作参数，控制网络故障注入的影响范围。

• 通信中断：网络包乱序影响探针程序与控制面的通信，此时该演练任务的状态极有可能显示为执行失败或恢复，但这恰恰是故障注入成功的表现。

• 无法自愈：超时机制可能失效，因为执行恢复动作同样需要通过网络通讯。

• 恢复方式：最可靠的恢复方法是通过云容器引擎控制台，对目标实例节点执行强制重启操作。

故障注入

1、纳管实例资源

1. 导航至 故障演练 > 目标应用 > 应用资源 页面。

2. 在资源类型页签中选择云容器引擎，然后单击添加资源。

3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。

4. 在应用资源页面的云容器引擎列表中，找到您的目标集群，单击其操作列的pod列表。

5. 在弹出的对话框中，单击添加pod。

6. 勾选您希望进行故障演练的一个或多个pod，然后单击确定。

2、编排演练任务

1. 导航至 故障演练 > 目标应用 > 演练管理页面，单击新建演练。

2. 在基本信息页面，按提示填写演练名称和描述，然后单击下一步。

3. 在演练对象配置页面：

   • 配置动作组：为动作组命名，资源类型选择云容器引擎Pod。

   • 添加实例：单击添加实例，勾选上一步中添加的云容器引擎Pod实例。

   • 添加故障动作：单击立即添加，在列表中选择网络包重复动作。

4. 在弹出的参数配置框中，配置所需参数，然后单击确定。

   • 持续时间：故障动作持续时间。

   • 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,8000-8080。

   • 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,8000-8080。

   • 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 8000-8010。 这个参数不能与本地端口或者远程端口参数一起使用。

   • 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。

   • 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。

   • 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。

   • 包重复百分比：数据包被复制的概率（取值 0-100）。例如，设置为 10 表示每100个包中约有10个会被复制并重复发送一次。

   • 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。

   • 容器名称：填写攻击目标的容器名

3、配置全局策略

1. 在全局配置页面，按需添加保护策略和监控指标。

2. 配置完成后，单击完成按钮，创建演练任务。

4、发起故障注入

1. 发起演练：在演练管理列表找到对应演练任务，单击操作列的执行演练，在新页面中点击发起新演练。

2. 进入实验：系统将自动跳转到本次演练的运行详情页，或在演练执行记录列表点击对应执行实例的详情进入。

3. 注入故障：在动作组中，找到网络包重复动作卡片，单击执行。

4. 查看日志：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。

效果验证

在故障注入期间，您可以通过以下方式验证演练效果：

1、观测实例指标：

• 登录应用性能监控控制台，观测已接入应用的应用提供服务平均响应时间指标。

2、业务应用验证：

• 观察业务因为网络包重复后的业务表现。