容器服务Kubernetes(ACK)及相关云环境几次故障和问题排查记录
1. 镜像仓库被设置为公有,导致镜像泄露风险:
错误现象:
公有镜像仓库可能会被云上其它用户拉取,导致泄露镜像安全风险;部分运维或者开发同学,因为没有设置准确的 secret 到 Deployment,为了解决无法拉取镜像问题,直接开放镜像仓库为公有。
解决方法:
镜像仓库的命名空间一定要设置为私有,准确设置绑定云效中docker 镜像账号,通过云效发布应用;
严格设定容器镜像仓库的维护权限;
2. 镜像拉取失败:
错误现象:
## 查看 pod 部署日志
kubectl logs {pod}
## 错误信息
Failed to pull image "registry-vpc.{region_id}.aliyuncs.com/{app_name}-daily/{app_name}:20190823150817":
rpc error: code = Unknown desc = Error response from daemon:
pull access denied for registry-vpc.{region_id}.aliyuncs.com/{app_name}-daily/{app_name}, repository does not exist or may require 'docker login'错误原因:
- 当前 tag 的镜像不存在、镜像地址错误、镜像网络不通,没法访问;
解决方法:
只需修改正确地址或者打通网络即可;
- Deployment 或者 Statefulset 的imagePullSecrets 没有设置或者设置错误
解决方法:
控制台或者使用命令建立保密字典,然后使用 imagePullSecrets 引入,或者自己建立 Secret:
## deplyment yaml 设置:
imagePullSecrets:
- name: acr-credential-be5ac8be6a88c42ac1d831b85135a585 3. SLB被容器服务清除,导致故障,需要重建和安全配置:
错误现象:
与容器服务关联配置的负载均衡(SLB)被清除;
错误原因:
因为有状态副本或者 Deployment集部署删除,存在级联删除 Service 情况,开发和运维人员使用重建方式修改自己配置的时候,导致 service 级联相应 SLB 被删除,导致故障,需要紧急重建 SLB 并多方增加访问控制等配置。
Service 配置任意修改或者删除,比如将 SLB 模式修改为 NodePort 或者 Cluster 模式,导致 SLB 负载均衡配置被清除。
解决与防止方法:
kubernetes 使用 NodePort,再通过手动建立负载均衡(SLB)与 NodePort 关联,解耦 Service 与 SLB 级联关系。
使用 Ingress 暴露服务,Service 使用虚拟集群 IP,与 Ingress 关联。
使用此种方式需要注意 SLB 到后端服务的负载均衡,具体参考负载均衡 中负载均衡请求部分。
4. ECS 添加到集群失败:
错误现象:
集群增加已有节点或者扩容失败。
错误日志例如下:
2019-07-31 19:44:59cf7c629dbf1dc4088a5a6b316fa5e561a | Wait k8s node i-9dpfd2n6ijvdd5tb642r join cluster timeout
2019-07-31 19:44:59cf7c629dbf1dc4088a5a6b316fa5e561a | Failed to check instance i-9dpfd2n6ijvdd5tb642r healthy : Wait for cn-north-2-gov-1.i-9dpfd2n6ijvdd5tb642r join to cluster cf7c629dbf1dc4088a5a6b316fa5e561a timeout
2019-07-31 19:44:59cf7c629dbf1dc4088a5a6b316fa5e561a | Failed to init instance i-9dpfd2n6ijvdd5tb642r, err Wait for cn-north-2-gov-1.i-9dpfd2n6ijvdd5tb642r join to cluster cf7c629dbf1dc4088a5a6b316fa5e561a timeout
2019-07-31 19:44:59cf7c629dbf1dc4088a5a6b316fa5e561a | Failed to attach node i-9dpfd2n6ijvdd5tb642r, err Wait for cn-north-2-gov-1.i-9dpfd2n6ijvdd5tb642r join to cluster cf7c629dbf1dc4088a5a6b316fa5e561a timeout 错误原因:
- 单个集群内节点数量配额达到阈值,导致 ECS 几点没法加入;
- 虚拟网络 VPC中路由表的路由条目达到阈值,导致新增节点没法添加路由条目;
- kubernetes apiserver 的 SLB 负载均衡设置有访问控制,导致添加的 ECS 没法访问 ApiServer;
- 添加的 ECS 节点自身安全组限制或者底层网络故障,导致没法访问 apiserver;
解决方法:
- 联系阿里云同学增加集群或者路由表阈值;
- 配置 SLB 访问控制,增加白名单;
- 配置安全组,增加白名单,或者重建 ECS,释放故障 ECS;
5. 集群中,个别 POD 网络访问不通:
错误现象:
个别应用产生一定比例的访问超时错误报告,经过监控系统 sunfire 配置发现特定的A 应用 pod 与另外一个应用B pod 网络不通;
网络测试:
- A pod 访问不通 B pod;
- B pod 能访问通 A pod;
- A pod 宿主机 ECS 能访问通 B pod宿主机 ECS;
- B pod 宿主机 ECS 能访问通 A pod宿主机 ECS;
- A pod 访问通 B pod宿主机 ECS;
- B pod 访问通 A pod宿主机 ECS;
抓包并与阿里云同学网络排查发现, 云上 VPC 的 NC 网络控制模块没有正确下发路由信息,导致网络故障。
解决方法:
联系阿里云 vpc 同学,排查 vpc 中 NC 路由下发问题。
6. 部分 ECS 网络故障,Master 访问Node 的 kube-proxy 端口访问不通:
错误现象:
新添加一批 ECS 节点,个别 ECS 总是添加失败,报告超时,排除 SLB 访问控制等原因;
监控 kubelet-TelnetStatus.Value 报警;
【阿里云监控】应用分组-k8s-cbf861623f10144c488813375a8a0d489-worker-1个实例发生报警, 触发规则:kubelet-TelnetStatus.Value
14:16 可用性监控[kubelet dingtalk-a-prod-node-X06/172.16.6.9] ,状态码(631>400 ),持续时间1天3分钟 错误原因:
经过观察和多次测试,失败的 ECS 网络很不稳定,经常网络不通;
该故障排查错层较长,一直没怀疑机器问题;
ECS 宿主机基础设施有问题,排除释放此宿主机上的 ECS。
解决方法:
新建 ECS, 释放故障 ECS,重新加入 kubernetes 集群。
