Kubernetes Pod 排错指南

已于 2022-07-02 08:40:31 修改
阅读量2k 收藏 6
点赞数 1
分类专栏: Kubernetes Pod 文章标签: kubernetes
于 2022-06-28 14:12:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/125325308
版权

Pod排错

Pod 各种异常现象,可能的原因以及解决方法。

排查过程常用的命名如下 :
  • 查看 Pod 状态: kubectl get pod <pod-name> -o wide
  • 查看 Pod yaml 配置: kubectl get pod <pod-name> -o yaml
  • 查看 Pod 事件: kubectl describe pod <pod-name>
  • 查看容器日志: kubectl logs <pod-name> [-c <container-name>]
Pod 有多种状态,这里罗列一下 :
Error : Pod 启动过程中发生错误
NodeLost : Pod 所在节点失联
Unkown : Pod 所在节点失联或其它未知异常
Waiting : Pod 等待启动
Pending : Pod 等待被调度
ContainerCreating : Pod 容器正在被创建
Terminating : Pod 正在被销毁
CrashLoopBackOff : 容器退出, kubelet 正在将它重启
InvalidImageName : 无法解析镜像名称
ImageInspectError : 无法校验镜像
ErrImageNeverPull : 策略禁止拉取镜像
ImagePullBackOff : 正在重试拉取
RegistryUnavailable : 连接不到镜像中心
ErrImagePull : 通用的拉取镜像出错
CreateContainerConfigError : 不能创建 kubelet 使用的容器配置
CreateContainerError : 创建容器失败
RunContainerError : 启动容器失败
PreStartHookError : 执行 preStart hook 报错
PostStartHookError : 执行 postStart hook 报错
ContainersNotInitialized : 容器没有初始化完毕
ContainersNotReady : 容器没有准备完毕
ContainerCreating :容器创建中
PodInitializing pod 初始化中
DockerDaemonNotReady docker 还没有完全启动
NetworkPluginNotReady : 网络插件还没有完全启动

Failed

失败(Failed):Pod中的所有容器都已终止了,并且至少有一个容器是因为失败终止。即容器以非0状态退出或者被系统禁止。 (容器进程主动退出)

容器进程如果是自己主动退出 ( 不是被外界中断杀死 ) ,退出状态码一般在 0-128 之间,根据约定,正 常退出时状态码为 0 1-127 说明是程序发生异常,主动退出了,比如检测到启动的参数和条件不满足要求,或者运行过程中发生 panic 但没有捕获处理导致程序退出。除了可能是业务程序 BUG ,还有其它许多可能原因,这里我们一一列举下。
DNS 无法解析
可能程序依赖集群 DNS 服务,比如启动时连接数据库,数据库使用 service 名称或外部域名都需
DNS 解析,如果解析失败程序将报错并主动退出。解析失败的可能原因 :
  • 集群网络有问题,Pod 连不上集群 DNS 服务
  • 集群 DNS 服务挂了,无法响应解析请求
  • Service 或域名地址配置有误,本身是无法解析的地址

程序配置有误  

  • 配置文件格式错误,程序启动解析配置失败报错退出
  • 配置内容不符合规范,比如配置中某个字段是必选但没有填写,配置校验不通过,程序报错主动退出

 

 

Pod 一直处于 ImagePullBackOff 状态

http 类型 registry,地址未加入到 insecure-registry

dockerd 默认从 https 类型的 registry 拉取镜像,如果使用 https 类型的 registry ,则必须将它添加到 insecure-registry 参数中,然后重启或 reload dockerd 生效。

 

https 自签发类型 resitry,没有给节点添加 ca 证书

如果 registry https 类型,但证书是自签发的,dockerd 会校验 registry 的证书,校验成功才能正常使用镜像仓库,要想校验成功就需要将 registry ca 证书放置到 /etc/docker/certs.d/<registry:port>/ca.crt 位置。

 私有镜像仓库认证失败

如果 registry 需要认证,但是 Pod 没有配置 imagePullSecret ,配置的 Secret 不存在或者
有误都会认证失败。

 

镜像文件损坏

如果 push 的镜像文件损坏了,下载下来也用不了,需要重新 push 镜像文件。

 

镜像拉取超时
如果节点上新起的 Pod 太多就会有许多可能会造成容器镜像下载排队,如果前面有许多大镜像需要下载很长时间,后面排队的 Pod 就会报拉取超时。 kubelet 默认串行下载镜像 : 
--serialize-image-pulls Pull images one at a time. We recommend *not* changing the default value on nodes that run docker daemon with version < 1.9 or an Aufs storage backend. Issue #10959 has more details. (default true)

 也可以开启并行下载并控制并发: 

--registry-qps int32 If > 0, limit registry pull QPS to this value. If 0, unlimited. (default 5) 2. --registry-burst int32 Maximum size of a bursty pulls, temporarily allows pulls to burst to this number, while still not exceeding registry-qps. Only used if --registry-qps > 0 (default 10)

 镜像不不存在:

kubelet 日志 : 
PullImage "imroc/test:v0.2" from image service failed: rpc error: code = Unknown desc = Error response from daemon: manifest for imroc/test:v0.2 not found

 

Pod 一直处于 ImageInspectError 状态

通常是镜像文件损坏了,可以尝试删除损坏的镜像重新拉取 

 

 

 

 

 Pod 处于 CrashLoopBackOff 状态

Pod 如果处于 CrashLoopBackOff 状态说明之前是启动了,只是又异常退出了只要 Pod
restartPolicy 不是 Never 就可能被重启拉起,此时 Pod RestartCounts 通常是大于0 的,可以先看下容器进程的退出状态码来缩小问题范围。
容器进程主动退出

如果是容器进程主动退出,退出状态码一般在 0-128 之间,除了可能是业务程序 BUG,还有其它许多可能原因。

系统 OOM

如果发生系统 OOM,可以看到 Pod 中容器退出状态码是 137,表示被 SIGKILL 信号杀死,同时 内核会报错: Out of memory: Kill process ... 。大概率是节点上部署了其它非 K8S 管理的进程消耗了比较多的内存,或者 kubelet --kube-reserved --system-reserved 配的比较小,没有预留足够的空间给其它非容器进程,节点上所有 Pod 的实际内存占用总量不会超过 /sys/fs/cgroup/memory/kubepods 这里 cgroup 的限制,这个限制等于 capacity - "kube-

reserved" - "system-reserved" ,如果预留空间设置合理,节点上其它非容器进程( kubelet,
dockerd, kube-proxy, sshd ) 内存占用没有超过 kubelet 配置的预留空间是不会发生系统
OOM 的,可以根据实际需求做合理的调整。

cgroup OOM

如果是 cgrou OOM 杀掉的进程,从 Pod 事件的下 Reason 可以看到是 OOMKilled ,说明

容器实际占用的内存超过 limit 了,同时内核日志会报 : `` 。 可以根据需求调整下 limit

节点内存碎片化

如果节点上内存碎片化严重,缺少大页内存,会导致即使总的剩余内存较多,但还是会申请内存失败, 参考 处理实践: 内存碎片化

健康检查失败

参考 Pod 健康检查失败 进一步定位。  

Pod 一直处于 Unknown 状态

通常是节点失联,没有上报状态给 apiserver,到达阀值后 controller-manager 认为节点失联并将其状态置为 Unknown

可能原因 :
  • 节点高负载导致无法上报
  • 节点宕机
  • 节点被关机
  • 网络不通

Pod 一直处于 Error 状态

通常处于 Error 状态说明 Pod 启动过程中发生了错误。常见的原因包括:

  • 依赖的 ConfigMapSecret 或者 PV 等不存在
  • 请求的资源超过了管理员设置的限制,比如超过了 LimitRange
  • 违反集群的安全策略,比如违反了 PodSecurityPolicy
  • 容器无权操作集群内的资源,比如开启 RBAC 后,需要为 ServiceAccount 配置角色绑定
富士康质检员张全蛋
关注
专栏目录
k8s-生产实例 常见pod 状态代码 以及错误问题原因
m0_66705547的博客
01-18 1169
云原生-k8s-pod状态
【云原生】k8s之pod基础(下)
qq_62462797的博客
01-03 2702
当你在创建容器时会针对指定的镜像来进行容器的创建,所以pod的创建是以镜像为基础。当你在拉取镜向不指定仓库的主机名,Kubernetes 认为你在使用 Docker 公共仓库。
【K8S】[remote_image.go:238] “PullImage from image service failed“拉取远程镜像失败
最新发布
weixin_43346403的博客
07-20 341
3.重启所有的containerd 节点。需要添加远程镜像源的地址到端点。
Pod的详细状态
weixin_44280843的博客
09-15 4024
Pod生命周期状态
Kubernetes学习笔记(三) —— POD生命周期与重启、拉取策略
u012480517的博客
07-23 179
K8S中Pod生命周期。
k8s之pod的基础(下)
qq_71147683的博客
01-04 917
Always deployment的yaml文件只能是Always pod的yaml三种模式都可以,不论正常退出还是非正常退出都重启OnDailure: 只有状态码非0才会重启。正常退出是不重启的Never 正常退出和非正常退出都不重启容器的退出了,pod才会重启pod可以有多个容器,只要有一个容器退出,整个pod都会重启,pod内的所有容器都会重启。
分析容器退出状态码
砚墨
09-11 2266
Pod status 状态解释 [1] CrashLoopBackOff:容器退出,kubelet正在将它重启 InvalidImageName:无法解析镜像名称 ImageInspectError:无法校验镜像 ErrImageNeverPull:策略禁止拉取镜像 ImagePullBackOff:镜像正在重试拉取 RegistryUnavailable:连接不到镜像中心 ErrImagePull:通用的拉取镜像出错 CreateContainerConfigError:不能创建kubelet使用的容器配
Kubernetes技术排错指南.pdf
10-11
指南提供了一份详细的 Kubernetes 技术排错指南,涵盖了集群排错Pod 排错、网络排错、PV 排错、AzureDisk 排错、Windows 排错、云平台排错等多个方面,并提供了一些常用的排错工具和命令,旨在帮助用户快速排除 ...
Kubernetes技术排错指南.docx
10-11
Kubernetes 排错指南Kubernetes 集群中排除故障和问题的指南,本指南提供了 Kubernetes 集群中的常见问题和解决方案,涵盖集群状态异常、Pod 运行异常、网络异常、持久化存储异常、AzureDisk 排错、AzureFile ...
Kubernetes架构权威指南.pdf
03-22
### Kubernetes架构权威指南知识点概述 #### 一、Kubernetes简介与基本概念 - **Kubernetes简介**:Kubernetes(简称K8s)是一种开源系统,用于自动化容器化应用的部署、扩展和管理。它能够提供容器化的应用生命...
Kubernetes指南
03-11
排错指南提供了针对集群问题的排错方法,从集群排错Pod排错到网络排错和PV排错等方面提供了详细的故障排除指导。 Kubernetes是一个高度可扩展的平台,它的广泛使用得益于其设计理念和组件的强大功能。对于开发者...
Kubernetes入门指南
10-28
Kubernetes排错指南部分,提供了集群排错Pod排错、网络排错、PV排错排错方法。排错指南通过详细的步骤和命令,帮助用户快速定位和解决问题。 总的来说,Kubernetes入门指南是一份非常全面的Kubernetes学习...
PaaS平台升级NFS报错排除
weixin_46755536的博客
02-01 487
1.查看pod,状态:CreateContainerError 2.查看events Events: Type Reason Age From Message Normal Scheduled default-scheduler Successfully assigned paas-admin/esdb-10-b44887dd7-rghqx to 10...* Warning FailedMount 9m8s
解决k8s核心组件calico pod资源不创建问题
江晓龙的博客
11-17 4310
解决k8s核心组件calico pod资源不创建问题 1.问题描述 由于K8S集群Master节点故障,导致calico网络组件虽然处于Running状态,但是一直无法准备就绪,如下图所示 calico-node-lpt7h运行在master节点,第一时间紧急处理方法就是将其pod删除,让K8S自动重建该pod,使整个集群快速恢复 但是就当我将calico-node-lpt7h pod删除后,该pod始终无法自建,就好像是从来没有这个pod似的 2.解决方法 期初排查时,我觉得可能是由于当前master
Docker 容器常见故障排查及处理,超好用,建议收藏
qq_43193782的博客
11-02 6152
docker启动的时候,会在运行目录(/var/run/docker/runtime-runc/moby)(不同环境,可能目录不一样,可以通过find / -name ‘容器ID’ 查找)下生成以docker-ID,因为docker异常停止,改容器文件并没有删除,所以启动的时候,会报错该容器已存在。如果宿主机上的端口被容器或者系统进程占用,就会导致端口分配失败。接下来,使docker容器中/etc/localtime软连接到宿主机/usr/share/zoneinfo/Asia/Shanghai。
kubernetes报错笔记 (一) calico报错
热门推荐
默子昂
05-31 1万+
错误1 read udp xxx:29270->169.169.0.10:53: i/o timeout read 主机地址加端口 >> 169.169.0.10:53好像是这个 解决方法 #错误原因 vi /etc/hosts 文件中缺少以下配置 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localho
记录k8s-Calico网络插件报错问题
mingqing的博客
08-31 2772
记录k8s-Calico网络插件报错问题
Kubernetes Deployment 故障排查指南
Docker的专栏
03-08 852
如果你不知道从何下手,那么在 Kubernetes 中排查故障可能会是一项艰难的任务。文本以超详细的图解说明了如何对 Kubernetes Deployment 进行故障排查,相信会对你有...
K8S Pod status的状态
砚墨
09-02 1689
K8S Pod status的状态: CrashLoopBackOff: 容器退出,kubelet正在将它重启 InvalidImageName: 无法解析镜像名称 ImageInspectError: 无法校验镜像 ErrImageNeverPull: 策略禁止拉取镜像 ImagePullBackOff: 正在重试拉取 RegistryUnavailable: 连接不到镜像中心 ErrImagePull: 通用的拉取镜像出错 CreateContainerConfigError: 不能创建kubelet使
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值