Longhorn项目中防止删除v1实例时产生孤儿进程的技术改进

背景介绍

在Longhorn分布式存储系统中，v1数据引擎实例的管理是一个关键组件。当用户删除一个v1实例时，系统需要确保所有相关资源被正确清理，避免产生"孤儿"进程。孤儿进程指的是那些失去了对应Kubernetes自定义资源(CR)但仍继续运行的实例进程，它们会占用系统资源并可能导致各种问题。

问题分析

在之前的实现中，当删除一个v1实例时，实例监控器会接收到实例状态变更事件(从ready变为deleting)。如果在实例监控器处理这些事件之前，对应的实例CR已经被清理，就可能产生孤儿进程。这种情况下的孤儿进程虽然生命周期很短，但会给系统运维带来困扰。

技术挑战

经过深入分析，团队发现即使在添加了对stopping/stopped状态实例进程的保护后，仍然存在极少数情况下会产生短暂存活的孤儿CR。这主要发生在以下场景：

1. 系统中有多个引擎实例(A和B)同时被删除
2. 引擎控制器处理实例A的删除事件，同步调用实例管理器删除进程A
3. 实例管理器生成进程A的状态变更事件(stopping→stopped)并放入gRPC通知流
4. 引擎控制器收到删除响应后，完成引擎CR A的清理
5. 实例监控器从gRPC流接收状态变更事件，此时API服务器响应延迟
6. 同时引擎控制器处理实例B的删除事件并完成清理
7. 实例监控器检查进程B时发现对应的引擎CR已不存在，误判为孤儿进程

解决方案

团队设计了一套基于进程UUID的解决方案来彻底解决这个问题：

1. UUID记录机制：在实例管理器中为每个引擎和副本进程分配唯一UUID，并将这些UUID记录在实例管理器的状态中

2. 孤儿CR增强：创建孤儿CR时，会记录对应实例的UUID信息，确保孤儿CR与实例进程之间建立明确的对应关系

3. 删除前验证：在删除孤儿进程前，会验证进程的UUID是否匹配，防止误删正在运行的正确进程

4. 状态忽略优化：改进孤儿判断逻辑，对于处于stopping和stopped状态的实例，跳过孤儿判断，因为这些实例可能很快会转入其他状态

实现细节

技术实现涉及多个组件的协同工作：

1. 实例管理器：负责维护进程列表并暴露每个进程的UUID信息
2. Longhorn管理器：实现基于UUID的孤儿判断和清理逻辑
3. SPDK引擎：适配新的UUID接口规范
4. 类型定义：扩展API以支持UUID字段

升级兼容性

对于从1.8.x版本升级到1.9.x的用户需要注意：

1. 在1.8.x实例管理器中存在的孤儿进程，在升级后不会自动创建孤儿CR
2. 这是因为1.8.x实例管理器不导出UUID信息
3. 系统只在能够获取实例UUID时才会创建孤儿，避免意外删除实例
4. 对于这种情况，管理员可以通过SSH进入容器手动执行删除命令

测试验证

团队设计了全面的测试方案验证改进效果：

1. 引擎升级测试：验证从1.8.1升级到最新版时不会产生孤儿
2. 卷分离附加测试：验证卷操作过程中UUID变更和实例管理的正确性
3. 孤儿处理测试：验证手动创建孤儿进程后系统能正确识别和清理

测试结果表明，改进后的系统能够有效防止孤儿进程的产生，并且在处理现有孤儿时行为符合预期。孤儿CR删除后，对应的实例会正确地从实例管理器的进程列表中移除。

总结

这次技术改进通过引入基于UUID的实例识别机制，显著提高了Longhorn系统在v1实例删除过程中的可靠性。它不仅解决了孤儿进程问题，还为系统未来的可观测性和运维能力奠定了基础。这种设计体现了Longhorn团队对系统稳定性的持续追求和对边缘情况的全面考虑。