从client-go到ApiServer：深入剖析K8s 'Too many requests'限流异常的根源与调优

中科院张老师

1. 当K8s集群开始"罢工"：Too many requests异常现象解析

最近在排查一个生产环境问题时，发现日志里频繁出现这样的错误信息："failed to list *v1.Endpoints: Too many requests: Too many requests, please try again later"。更糟糕的是，部分节点开始陆续出现NotReady状态，整个集群就像突然"罢工"了一样。这种情况在很多业务突增的场景下特别常见，特别是在使用client-go与Kubernetes API Server交互时。

这个异常的本质是API Server的自我保护机制被触发。想象一下API Server就像一家热门餐厅，当同时涌入的顾客（请求）超过餐厅接待能力（并发限制）时，经理就会在门口挂出"客满"的牌子（返回429 Too many requests）。在K8s中，这个限制主要来自三个关键环节：

client-go客户端的令牌桶限流器（默认QPS=5，Burst=10）
API Server的总并发限制（默认400读+200写）
节点心跳机制（Lease对象每10秒更新一次）

当这三个环节中的任何一个出现瓶颈，都可能引发连锁反应。比如节点心跳因为限流而无法及时上报，API Server就会认为节点不健康，将其标记为NotReady状态。这种情况在集群规模较大或业务突增时尤为明显。

2. 深入client-go：你的客户端真的在"守规矩"吗？

client-go作为Kubernetes的官方客户端库，内置了一套完善的限流机制。默认配置下，它使用令牌桶算法进行流量控制，参数如下：

go复制// 默认QPS为5，Burst为10
config := &rest.Config{
    QPS:   5,
    Burst: 10,
}

这个配置意味着：

正常情况下每秒最多发送5个请求（QPS）
允许短时间内突发最多10个请求（Burst）

令牌桶算法的工作方式可以类比为一个漏水的水桶：

桶初始时有10个令牌（Burst值）
每秒钟自动补充5个令牌（QPS值）
每次请求需要消耗1个令牌
当桶中没有足够令牌时，请求会被限流

在实际应用中，很多开发者会忽略这个配置，导致以下常见问题：

配置过低：当业务突增时，大量请求被client-go自己限流
配置过高：虽然client-go放行了请求，但可能导致API Server过载
全局共享：多个控制器共用一个client实例，互相影响

调整这些参数需要根据实际业务场景：

go复制// 适合高并发场景的配置示例
config := &rest.Config{
    QPS:   20,
    Burst: 30,
}

3. API Server的防线：并发限制机制全解析

API Server作为Kubernetes集群的网关，提供了两道重要的防线：

读请求限制（--max-requests-inflight）：默认400
写请求限制（--max-mutating-requests-inflight）：默认200

这两个参数共同决定了API Server的总并发处理能力。在默认配置下（--enable-priority-and-fairness=true），总并发限制是600（400+200）。这个限制是针对整个API Server实例的，所有namespace的请求都会共享这个配额。

理解这些限制的细节很重要：

读请求：包括GET、LIST、WATCH等操作
写请求：包括CREATE、UPDATE、PATCH、DELETE等操作
特殊请求：如持久化事件、Lease更新等系统关键操作

当并发请求数超过这些限制时，API Server会：

对新请求返回429 Too many requests错误
在metrics中记录相关指标（apiserver_flowcontrol_rejected_requests_total）

可以通过以下命令检查当前API Server的配置：

bash复制ps aux | grep kube-apiserver | grep -E 'max-requests-inflight|max-mutating-requests-inflight'

4. 心跳危机：为什么限流会导致节点NotReady？

Kubernetes节点健康状态依赖于两种心跳机制：

NodeStatus更新：默认每5分钟一次
Lease对象更新：默认每10秒一次

当API Server限流时，最直接的影响就是kubelet无法及时更新Lease对象。虽然kubelet会使用指数退避重试（从200ms开始，最大间隔7秒），但如果API Server持续高负载，最终会导致：

节点心跳超时（默认40秒）
控制平面将节点标记为NotReady
Pod从该节点被驱逐
调度器不再分配新Pod到该节点

这种连锁反应在大型集群中尤为危险，可能引发"雪崩效应"：

部分节点NotReady
其上Pod被重新调度到其他节点
其他节点负载增加，产生更多API请求
API Server负载进一步升高
更多节点心跳失败

5. 调优实战：从参数调整到架构优化

5.1 client-go客户端调优

对于不同的使用场景，client-go的配置应该有所区别：

控制器类应用：

go复制// 中等负载控制器
config := &rest.Config{
    QPS:   20,
    Burst: 30,
}

批量处理任务：

go复制// 高负载批处理任务
config := &rest.Config{
    QPS:   50,
    Burst: 100,
}

关键系统组件（如kubelet）：

go复制// 系统关键组件需要更高配额
config := &rest.Config{
    QPS:   100,
    Burst: 200,
}

5.2 API Server参数调优

调整API Server的并发限制需要考虑节点数量和业务特点：

bash复制# 大型集群建议配置（节点数>100）
--max-requests-inflight=800
--max-mutating-requests-inflight=400

# 超大型集群建议配置（节点数>500）
--max-requests-inflight=1500
--max-mutating-requests-inflight=600

同时可以启用优先级机制：

bash复制--enable-priority-and-fairness=true

5.3 架构级优化方案

API Server水平扩展：
- 部署多个API Server实例
- 配合负载均衡器分发请求
客户端优化：
- 为不同业务使用独立的client实例
- 实现客户端本地缓存（如使用Informers）
关键请求隔离：
- 使用FlowSchema和PriorityLevelConfiguration
- 确保系统关键请求（如心跳）获得更高优先级

6. 监控与诊断：如何提前发现限流风险？

完善的监控可以帮助我们提前发现问题：

关键指标监控：
- apiserver_flowcontrol_rejected_requests_total
- apiserver_current_inflight_requests
- apiserver_request_duration_seconds
客户端监控：
- rest_client_requests_total{code="429"}
- workqueue_adds_total
节点健康监控：
- kubelet_lease_renew_errors_total
- node_status_condition{condition="Ready"}

可以设置如下告警规则：

yaml复制- alert: APIServerHighRejectionRate
  expr: rate(apiserver_flowcontrol_rejected_requests_total[5m]) > 5
  for: 10m
  labels:
    severity: warning
  annotations:
    summary: "API Server rejecting too many requests (instance {{ $labels.instance }})"
    description: "High rate of 429 responses from API Server"