譯者 | 晶顏

審校 | 重樓

隨著Kubernetes不斷革新我們管理和部署應(yīng)用程序的方式，理解它的復(fù)雜性對開發(fā)人員和運營團隊都變得至關(guān)重要。如果您沒有一個專門的DevOps團隊，在使用Kubernetes的過程中可能很容易陷入誤區(qū)。

本指南探討了常見的Kubernetes錯誤，并提供了故障排除技巧，以幫助開發(fā)人員在容器編排的復(fù)雜環(huán)境中避坑。

1.識別配置問題

當您在Kubernetes中遇到配置問題時，首先要使用“kubectl get pods”命令檢查狀態(tài)列。這里會顯示一些常見的錯誤，然后，您需要使用“kubectl description pod”進行進一步檢查。

常見原因及解決方法

1）資源不足（注意，這里指POD本身的資源，而不是容器內(nèi)的資源。這意味著硬件或周圍的VM達到了極限）

• 癥狀描述：資源限制導(dǎo)致Pod無法調(diào)度。
• 解決方案：通過添加更多節(jié)點來擴展集群以滿足資源需求。

2）卷掛載失敗

• 癥狀描述：Pod無法正常掛載卷。
• 解決方案：確保Pod規(guī)范中準確定義了存儲，并檢查存儲類和持久卷（Persistent Volume，PV）配置。

詳細調(diào)查步驟

我們可以使用kubectl describe pod：該命令提供Pod的詳細描述，包括已發(fā)生的事件。通過檢查這些事件，我們可以查明問題的確切原因。

另一個重要步驟是資源配額分析。有時，資源約束是由于名稱空間級別的資源配額造成的。使用“kubectl get resourcequotas”來檢查配額是否限制了Pod的創(chuàng)建。

2.處理映像提取錯誤

ErrImagePull或Imagepulbackoff之類的錯誤表示獲取容器映像的問題。這些錯誤通常與映像可用性或訪問權(quán)限有關(guān)。

故障排除步驟

第一步是檢查映像名稱，我們可以使用以下命令：

docker pull <image-name>

然后，我們需要驗證圖像名稱是否有拼寫錯誤或無效字符。我們可以通過grep對命令進行管道輸入，以驗證名稱是否100%相同，有些拼寫錯誤非常難以發(fā)現(xiàn)。

憑據(jù)也可能是一個主要的陷阱。例如，從私有存儲庫中提取映像時授權(quán)失敗。我們必須確保在Kubernetes secrets中正確配置了Docker注冊憑據(jù)。

還應(yīng)該檢查網(wǎng)絡(luò)配置。確保Kubernetes節(jié)點能夠通過網(wǎng)絡(luò)訪問Docker注冊表。網(wǎng)絡(luò)策略或防火墻規(guī)則可能會阻止訪問。

還有一些額外的陷阱，比如圖像標記的問題。確保您使用了正確的圖像標簽。請注意，最新標簽可能并不總是指向預(yù)期的圖像版本。

如果您使用的是私有注冊表，則可能會遇到訪問問題。確保您的憑據(jù)是最新的，并且可以從所有區(qū)域的所有節(jié)點訪問注冊中心。

3.處理節(jié)點問題

與節(jié)點相關(guān)的錯誤通常指向物理或虛擬機問題。這些問題可能會中斷Kubernetes集群的正常運行，需要及時注意。

我們可以使用下述命令查詢節(jié)點狀態(tài)：

kubectl get nodes

然后，我們可以在結(jié)果輸出中識別出有問題的節(jié)點。但有時重新啟動節(jié)點是解決某些問題的優(yōu)選方案。我們可以重新啟動受影響的機器或虛擬機。Kubernetes應(yīng)該嘗試“自我修復(fù)”并在幾分鐘內(nèi)恢復(fù)。

為了調(diào)查節(jié)點的情況，我們可以使用下面的命令：

kubectl describe node <node-name>

我們還應(yīng)該查找MemoryPressure、DiskPressure或NetworkUnavailable等條件。這些條件為我們應(yīng)該在節(jié)點中解決的潛在問題提供了線索。

預(yù)防措施

節(jié)點監(jiān)控應(yīng)該與Prometheus和Grafana等工具一起使用，以監(jiān)視節(jié)點的運行狀況和性能。它們可以很好地解決與Kubernetes相關(guān)的低級問題，我們也可以使用它們來解決高級應(yīng)用程序問題。

我們還可以利用一些自動修復(fù)工具（如Kubernetes Cluster Autoscaler）來根據(jù)工作負載需求自動管理集群中的節(jié)點數(shù)量。需要注意的是，如此一來所導(dǎo)致的級聯(lián)失敗可能會觸發(fā)額外的資源消耗。

4.管理丟失的配置密鑰或秘密

丟失配置密鑰或秘密是破壞Kubernetes部署的常見問題。妥善管理這些因素對順利運作至關(guān)重要。

我們需要使用ConfigMaps和secrets。這讓我們可以安全地存儲配置值和敏感信息。為了避免這種情況，我們需要確保ConfigMaps和Secrets在您的Pod規(guī)范中被正確引用。

我們可以使用下述命令檢查Pod描述：

kubectl describe pod <pod-name>

該命令能夠檢查輸出并查找丟失的配置細節(jié)，以糾正任何錯誤配置。

ConfigMap和secret的創(chuàng)建可以通過下面的命令來驗證：

kubectl get configmaps

以及：

kubectl get secrets

確保所需的ConfigMaps和Secrets存在于名稱空間中，并包含預(yù)期的數(shù)據(jù)。最好將ConfigMaps的非敏感部分保留在版本控制中，同時出于安全考慮排除秘密。此外，您應(yīng)該為不同的環(huán)境（開發(fā)、生產(chǎn)）使用不同的Configmap和Secrets，以避免配置泄漏。

5.利用Buildg進行交互式調(diào)試

Buildg是一個相對較新的工具，它通過允許交互式調(diào)試來增強Docker配置的調(diào)試過程。

它以類似于標準調(diào)試的方式為配置問題提供交互式調(diào)試。它允許我們逐步執(zhí)行Dockerfile的各個階段并設(shè)置斷點。Buildg通過調(diào)試適配器協(xié)議（Debug Adapter Protocol，DAP）與VSCode和其他IDE兼容。

Buildg允許我們在構(gòu)建過程的每個階段檢查容器狀態(tài)，以便及早發(fā)現(xiàn)問題。

您可以按照Buildg GitHub頁面上的說明安裝build。

結(jié)語

調(diào)試Kubernetes極具挑戰(zhàn)性，但有了正確的知識和工具，開發(fā)人員可以有效地識別和解決常見問題。通過了解配置問題、映像提取錯誤、節(jié)點問題以及ConfigMaps和secrets的重要性，開發(fā)人員可以為更健壯、更可靠的Kubernetes部署做出貢獻。像build這樣的工具在交互式調(diào)試方面提供了有效支持，進一步彌合了開發(fā)和操作之間的差距。

隨著Kubernetes的不斷發(fā)展，了解新工具和最佳實踐對于成功的應(yīng)用程序管理和部署至關(guān)重要。通過主動解決這些常見問題，開發(fā)人員可以確保Kubernetes運行更順暢、更高效，最終實現(xiàn)更具彈性和可擴展性的應(yīng)用程序。

原文鏈接：

原文標題：Common Kubernetes Errors and How to Fix Them，作者：Shai Almog