1 集群故障概述

在k8s集群的部署过程中，大家可能会遇到很多问题。这也是本地部署k8s集群遇到的最大挑战，因此本篇文章讲述了问题处理思路和常见错误，希望能够给予大家帮助。

2 pod常见问题解决思路与方法

排查Kubernetes部署故障的3个步骤：

(1)应确保Pods正常运行；

(2)确保于服务可以将流量调度到Pod；

(3)检查是否正确配置了入口。

可以用下面几个命令用来排查Pod故障：

(1) kubectl logs <pod name> ：用来查看Pod容器日志。

(2) kubectl describe pod <pod name>：用于查看与Pod相关的事件列表。

(3) kubectl get pod <pod name>：用于获取Pod的YAML定义。

(4) kubectl exec -ti <pod name> bash：对进入Pod容器进行交互式终端。

Pod可能会出现各种启动和运行时错误。

(1)启动错误：

ImagePullBackoff，ImageInspectError，ErrImagePull，ErrImageNeverPull，RegistryUnavailable，InvalidImageName

(2)运行时错误：

CrashLoopBackOff，RunContainerError，KillContainerError，VerifyNonRootError，RunInitContainerError，CreatePodSandboxError，ConfigPodSandboxError，KillPodSandboxError，SetupNetworkError，TeardownNetworkError

3 Pod启动异常：部分节点无法启动Pod --Waiting 或 ContainerCreating状态

首先还是通过 kubectl describe pod <pod-name> 命令查看到当前 Pod 的事件。可能的原因包括

（1）镜像拉取失败，比如配置了镜像错误、Kubelet 无法访问镜像、私有镜像的密钥配置错误、镜像太大，拉取超时等
（2）CNI 网络错误，一般需要检查 CNI 网络插件的配置，比如无法配置 Pod 、无法分配 IP 地址
（3）容器无法启动，需要检查是否打包了正确的镜像或者是否配置了正确的容器参数

4 pending状态问题排查

Pending 说明 Pod 还没有调度到某个 Node 上面。可以通过kubectl describe pod <pod-name> 命令查看到当前 Pod 的事件，进而判断为什么没有调度。可能的原因包括资源不足，集群内所有的 Node 都不满足该 Pod 请求的 CPU、内存、GPU 等资源HostPort 已被占用，通常推荐使用 Service 对外开放服务端口。

5 Pod状态异常排查问题集-- Evicted状态

出现这种情况，多见于系统内存或硬盘资源不足，可df-h查看docker存储所在目录的资源使用情况，如果百分比大于85%，就要及时清理下资源，尤其是一些大文件、docker镜像。

（1）清除状态为Evicted的pod：

kubectl get pods | grep Evicted | awk '{print $1}' | xargs kubectl delete pod

（2）删除所有状态异常的pod：

kubectl delete pods $(kubectl get pods | grep -v Running | cut -d ' ' -f 1)

（3）删除集群中没有在使用的docker镜像(慎用)：

docker system prune -a

（4）查看pod对应的服务(镜像)版本：

kubectl --server=127.0.0.1:8888 get rc -o yaml | grep image: |uniq | sort | grep ecs-core

（5）附：删除某类历史镜像（仅保留当前使用的）

docker images | grep ecs-core | grep -v docker images | grep ecs-core -m 1 | awk '{print $2}' | awk '{print $3}' | xargs docker rmi -f

6 ImagePullBackoff状态问题解决方法

这也是我们测试环境常见的，通常是镜像拉取失败。这种情况可以使用 docker pull <image> 来验证镜像是否可以正常拉取。

或者docker images | grep <images>查看镜像是否存在（系统有时会因为资源问题自动删除一部分镜像）

主要三个原因：

（1）镜像名称无效。例如，输错名字，或者镜像不存在。

（2）为镜像指定了一个不存在的标签。

（3）尝试检索的镜像属于一个私有注册表，但是Kubernetes没有设置权限访问。

解决方法：

（1）前两种情况可以通过修改镜像名和标签来解决。

（2）第三个问题，需要在注册表中添加凭据，并在Pod中引用。

官方文档中有一个有关如何实现此目标的示例。

7 crashloopbackoff状态问题解决方法

CrashLoopBackOff 状态说明容器曾经启动了，但可能又异常退出了。此时可以先查看一下容器的日志
（1）容器进程退出

（2）健康检查失败退出

解决方法：

（1）应该查看容器中日志，了解详细失败的原因。

kubectl logs <pod-name> --previous

RunContainerError

当容器无法启动时出现错误，直至在容器内的应用程序启动之前。

该问题通常是由于配置错误，例如：

挂载不存在的卷，例如ConfigMap或Secrets

将只读卷安装为可读写

解决方法：

对该错误应该使用kubectl describe pod <pod-name>来收集和分析错误。

8 error状态问题解决方法

通常处于 Error 状态说明 Pod 启动过程中发生了错误。常见的原因包括

（1）依赖的 ConfigMap、Secret 或者 PV 等不存在
（2）请求的资源超过了管理员设置的限制，比如超过了 LimitRange 等
（3）违反集群的安全策略，比如违反了 PodSecurityPolicy 等
（4）容器无权操作集群内的资源，比如开启 RBAC 后，需要为 ServiceAccount 配置角色绑定

9 Terminating或Unknown状态处理方法

从 v1.5 开始，Kubernetes 不会因为 Node 失联而删除其上正在运行的 Pod，而是将其标记为 Terminating 或 Unknown 状态。想要删除这些状态的 Pod 有三种方法：

（1）从集群中删除该 Node。使用公有云时，kube-controller-manager 会在 VM 删除后自动删除对应的 Node。而在物理机部署的集群中，需要管理员手动删除 Node（如 kubectl delete node <node-name>）。
（2）Node 恢复正常。Kubelet 会重新跟 kube-apiserver 通信确认这些 Pod 的期待状态，进而再决定删除或者继续运行这些 Pod。
（3）用户强制删除。用户可以执行 kubectl delete pods <pod> --grace-period=0 --force 强制删除 Pod。除非明确知道 Pod 的确处于停止状态（比如 Node 所在 VM 或物理机已经关机），否则不建议使用该方法。
特别是 StatefulSet 管理的 Pod，强制删除容易导致脑裂或者数据丢失等问题。

10 pod健康检查：存活性探测&就绪性探测

如果Pod正在运行但未就绪，则表示"就绪"探针失败。

当就绪探针失败时，Pod未连接到服务，并且不会有流量转发到该实例。

解决方法

准备就绪探针失败是特定于应用程序的错误，因此应该检查kubectl描述中的"事件"部分以识别错误。