Linux服务器重启后Kubernetes集群故障排查指南
当Linux服务器重启后,原本运行良好的Kubernetes集群突然"失联",这可能是许多运维人员都曾遇到过的噩梦场景。kube-apiserver作为集群的中枢神经系统,一旦启动失败,整个集群的控制平面就会陷入瘫痪。本文将从一个实战角度,带您系统性地排查和解决这类问题,而不仅仅是提供一堆命令的堆砌。
1. 初步症状诊断与基础检查
遇到kube-apiserver启动失败的情况,首先需要冷静观察现象,收集足够的信息。典型的症状包括:
- 执行
kubectl get nodes时返回连接被拒绝的错误 netstat -tunlp | grep 6443显示API Server端口未监听systemctl status kube-apiserver显示服务不存在或启动失败
基础环境检查清单:
系统服务状态验证:
systemctl status docker systemctl status kubelet确保Docker和kubelet这两个关键服务都处于active状态
防火墙与SELinux检查:
systemctl status firewalld getenforce临时关闭防火墙和SELinux进行测试:
systemctl stop firewalld setenforce 0关键端口占用情况:
ss -tulnp | grep -E '6443|2379|10250'这些端口是Kubernetes集群正常工作的关键
2. 深入排查kube-apiserver服务状态
当基础检查都正常,但问题仍然存在时,就需要深入挖掘kube-apiserver本身的运行状态。
2.1 检查服务单元文件
首先确认kube-apiserver的服务定义是否存在:
systemctl list-unit-files | grep kube-apiserver如果服务不存在,可能需要重新初始化集群。如果服务存在但无法启动,查看详细日志:
journalctl -xeu kube-apiserver2.2 验证证书和密钥文件
Kubernetes API Server依赖一系列证书进行安全通信,重启后证书问题很常见:
ls -l /etc/kubernetes/pki/重点关注以下文件是否存在且权限正确:
- apiserver.crt
- apiserver.key
- ca.crt
2.3 检查etcd集群健康状态
kube-apiserver依赖etcd存储集群数据,etcd问题会导致API Server启动失败:
docker ps | grep etcd ETCDCTL_API=3 etcdctl --endpoints=https://127.0.0.1:2379 \ --cacert=/etc/kubernetes/pki/etcd/ca.crt \ --cert=/etc/kubernetes/pki/etcd/healthcheck-client.crt \ --key=/etc/kubernetes/pki/etcd/healthcheck-client.key \ endpoint health3. 系统级问题排查
有时候问题并不在Kubernetes本身,而是系统层面的配置或资源问题。
3.1 系统时间同步检查
Kubernetes对时间同步非常敏感,时间不同步会导致证书验证失败:
timedatectl status如果发现时间不同步,立即修复:
systemctl restart chronyd3.2 存储卷挂载验证
如果您的集群使用了持久化存储,检查相关挂载点:
mount | grep -E 'etcd|kubernetes' df -h3.3 系统资源检查
API Server启动需要足够的系统资源:
free -h df -h /var4. 集群恢复与重建策略
当所有排查都无法解决问题时,可能需要考虑集群重建。但在此之前,尝试以下恢复步骤:
4.1 重置集群状态
kubeadm reset -f rm -rf /etc/cni/net.d rm -rf $HOME/.kube/config4.2 重新初始化控制平面
kubeadm init --kubernetes-version=$(kubeadm version -o short) \ --pod-network-cidr=10.244.0.0/16 \ --service-cidr=10.96.0.0/16 \ --ignore-preflight-errors=Swap4.3 恢复kubectl配置
mkdir -p $HOME/.kube sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config sudo chown $(id -u):$(id -g) $HOME/.kube/config4.4 部署网络插件
以Flannel为例:
kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml5. 预防措施与最佳实践
为了避免类似问题再次发生,建议采取以下预防措施:
集群配置备份策略:
| 配置项 | 备份命令 | 恢复命令 |
|---|---|---|
| etcd数据 | etcdctl snapshot save | etcdctl snapshot restore |
| Kubernetes证书 | tar czf k8s-pki.tar.gz /etc/kubernetes/pki | tar xzf k8s-pki.tar.gz -C / |
| 集群配置 | kubectl get --all-namespaces -o yaml > cluster-state.yaml | kubectl apply -f cluster-state.yaml |
关键监控指标设置:
- API Server响应时间
- etcd存储空间使用率
- 证书过期时间
- 节点资源使用率
定期维护检查清单:
每月检查证书有效期:
openssl x509 -noout -dates -in /etc/kubernetes/pki/apiserver.crt季度性验证etcd数据完整性
系统升级前完整备份集群状态
维护操作前记录当前集群状态
在实际运维中,我发现大多数Kubernetes集群问题都可以通过系统性的排查方法解决。关键是要建立清晰的排查思路,从简单到复杂,从表象到本质。记录每次故障的排查过程和解决方案,形成自己的知识库,这样当下次遇到类似问题时就能快速定位和解决。
)
)
了!聊聊C语言里那些容易踩坑的布尔判断与位操作)