Auf dieser Seite werden alle bekannten Probleme mit Google Distributed Cloud on VMware aufgeführt. Diese Seite richtet sich an IT-Administratoren und Anwender, die den Lebenszyklus der zugrunde liegenden technischen Infrastruktur verwalten und auf Benachrichtigungen und Seiten reagieren, wenn Service Level Objectives (SLOs) nicht erfüllt werden oder Anwendungen ausfallen. Weitere Informationen zu gängigen Rollen und Beispielaufgaben, auf die wir in Google Cloud-Inhalten verweisen, finden Sie unter Häufig verwendete GKE Enterprise-Nutzerrollen und -Aufgaben.
Wenn Sie die bekannten Probleme nach einer Produktversion oder -kategorie filtern möchten, wählen Sie in den folgenden Drop-down-Menüs einfach die gewünschten Filter aus.
Wählen Sie Ihre Version von Google Distributed Cloud aus:
Die Migration eines Nutzerclusters zu Controlplane V2 schlägt fehl, wenn die Secrets-Verschlüsselung schon einmal aktiviert wurde.
Wenn die Always-On-Secrets-Verschlüsselung schon einmal aktiviert war, wird der Secret-Verschlüsselungsschlüssel bei der Migration eines Nutzerclusters zu Controlplane V2 nicht ordnungsgemäß verarbeitet. Aufgrund dieses Problems kann der neue Controlplane V2-Cluster keine Secrets entschlüsseln. Wenn die Ausgabe des folgenden Befehls nicht leer ist, wurde die Always-On-Secrets-Verschlüsselung irgendwann aktiviert und der Cluster ist von diesem Problem betroffen:
Die Migration eines Administratorclusters von einem Cluster ohne Hochverfügbarkeit zu einem Cluster mit Hochverfügbarkeit schlägt fehl, wenn die Secrets-Verschlüsselung aktiviert ist.
Wenn die Always-On-Secrets-Verschlüsselung in der Version 1.14 oder in älteren Versionen für den Administratorcluster aktiviert wurde und ein Upgrade von alten Versionen auf die betroffenen Versionen 1.29 und 1.30 durchgeführt wurde, wird der Secret-Verschlüsselungsschlüssel bei der Migration des Administratorclusters von einem Cluster ohne Hochverfügbarkeit zu einem Cluster mit Hochverfügbarkeit nicht ordnungsgemäß verarbeitet. Aufgrund dieses Problems kann der neue hochverfügbare Administratorcluster keine Secrets entschlüsseln.
So prüfen Sie, ob der Cluster den alten formatierten Schlüssel verwendet:
credential.yaml wurde beim Upgrade der Administratorworkstation fehlerhaft generiert.
Beim Upgrade der Administratorworkstation mit dem Befehl gkeadm upgrade
admin-workstation wird die Datei credential.yaml fehlerhaft generiert. Die Felder für Nutzername und Passwort sind leer.
Außerdem enthält der privateRegistry-Schlüssel einen Tippfehler.
Die gleiche Falschschreibung des privateRegistry-Schlüssels ist auch in der Datei admin-cluster.yaml enthalten. Da die Datei credential.yaml während des Administratorcluster-Upgrades neu generiert wird, ist der Tippfehler auch dann vorhanden, wenn Sie ihn zuvor korrigiert haben.
Workaround:
Aktualisieren Sie den Schlüsselnamen der privaten Registry in credential.yaml, damit er mit dem Eintrag privateRegistry.credentials.fileRef.entry in admin-cluster.yaml übereinstimmt.
Aktualisieren Sie den Nutzernamen und das Passwort der privaten Registry in der credential.yaml.
Upgrades
1.16, 1.28
Das Upgrade des Nutzerclusters schlägt aufgrund eines Zeitüberschreitungsfehlers beim Abgleich vor dem Upgrade fehl.
Beim Upgrade eines Nutzerclusters kann der Abgleich vor dem Upgrade länger als die festgelegte Zeitüberschreitung dauern, was zu einem Upgradefehler führt.
Die Fehlermeldung sieht in etwa so aus:
Failed to reconcile the user cluster before upgrade: the pre-upgrade reconcile failed, error message:
failed to wait for reconcile to complete: error: timed out waiting for the condition,
message: Cluster reconcile hasn't finished yet, please fix that before
rerun the upgrade.
Die Zeitüberschreitung für den Abgleich vor dem Upgrade beträgt 5 Minuten plus 1 Minute pro Knotenpool im Nutzercluster.
Workaround:
Sorgen Sie dafür, dass der Befehl gkectl diagnose cluster ohne Fehler ausgeführt wird. Überspringen Sie den Abgleich vor dem Upgrade, indem Sie dem Befehl gkectl upgrade cluster das Flag --skip-reconcile-before-preflight hinzufügen. Beispiel:
Die Aktualisierung von DataplaneV2 ForwardMode löst nicht automatisch einen Neustart des DaemonSets anetd aus.
Wenn Sie das Feld dataplaneV2.forwardMode des Nutzerclusters mit gkectl update cluster aktualisieren, wird die Änderung nur in der ConfigMap aktualisiert. Das DaemonSet anetd übernimmt die Konfigurationsänderung nicht ohne einen Neustart und Ihre Änderungen werden nicht angewendet.
Workaround:
Wenn der Befehl gkectl update cluster ausgeführt wurde, wird die Ausgabe Done updating the user cluster angezeigt. Führen Sie daraufhin den folgenden Befehl aus, um das DaemonSet anetd neu zu starten, sodass die Konfigurationsänderung übernommen wird:
Prüfen Sie in der Ausgabe des vorherigen Befehls, ob die Zahl in der Spalte DESIRED mit der Zahl in der Spalte READY übereinstimmt.
Upgrades
1.16
Der Befehl etcdctl wurde während des Cluster-Upgrades in der Sicherungsphase des Administratorclusters nicht gefunden.
Während des Upgrades eines Nutzerclusters von 1.16 auf 1.28 wird der Administratorcluster gesichert. Dabei wird die Fehlermeldung „etcdctl: command not found“ (etcdctl: Befehl nicht gefunden) angezeigt. Das Upgrade des Nutzerclusters ist erfolgreich und der Administratorcluster bleibt in einem fehlerfreien Zustand. Das einzige Problem ist, dass die Metadatendatei im Administratorcluster nicht gesichert wird.
Die Ursache des Problems ist, dass das Binärprogramm etcdctl in Version 1.28 hinzugefügt wurde und auf Knoten mit Version 1.16 nicht verfügbar ist.
Die Sicherung des Administratorclusters umfasst mehrere Schritte, darunter die Erstellung eines etcd-Snapshots und das Schreiben der Metadatendatei für den Administratorcluster.
Die etcd-Sicherung ist trotzdem erfolgreich, da etcdctl auch nach einer Ausführung im etcd-Pod ausgelöst werden kann. Das Schreiben der Metadatendatei schlägt jedoch fehl, da das Binärprogramm etcdctl noch auf dem Knoten installiert werden muss. Die Sicherung der Metadatendatei ist jedoch kein Hindernis für die Sicherung. Daher ist der Sicherungsvorgang wie auch das Upgrade des Nutzerclusters erfolgreich.
Workaround:
Wenn Sie eine Sicherung der Metadatendatei erstellen möchten, folgen Sie der Anleitung unter Administratorcluster mit gkectl sichern und wiederherstellen, um eine separate Sicherung des Administratorclusters mit der Version von gkectl auszulösen, die der Version Ihres Administratorclusters entspricht.
Installation
1.16–1.29
Fehler beim Erstellen eines Nutzerclusters mit manuellem Load Balancing
Beim Erstellen eines Nutzerclusters, der für manuelles Load-Balancing konfiguriert ist, tritt ein gkectl check-config-Fehler auf, der darauf hinweist, dass der ingressHTTPNodePort-Wert mindestens 30.000 sein muss, auch wenn der gebündelte eingehende Traffic deaktiviert ist.
Dieses Problem tritt unabhängig davon auf, ob die Felder ingressHTTPNodePort und ingressHTTPSNodePort festgelegt oder leer gelassen werden.
Workaround:
Um dieses Problem zu umgehen, ignorieren Sie das von gkectl check-config zurückgegebene Ergebnis. Informationen zum Deaktivieren des gebündelten eingehenden Traffics finden Sie unter Gebündelten eingehenden Traffic deaktivieren.
Updates
1.29.0
Nach der Migration eines Nutzerclusters zu Controlplane V2 wird das Messwertserver-PDB des Administratorclusters möglicherweise falsch konfiguriert.
Das Problem mit dem PodDisruptionBudget (PDB) tritt auf, wenn Administratorcluster mit Hochverfügbarkeit (High Availability, HA) verwendet werden und nach der Migration 0 oder ein Administratorclusterknoten ohne Rolle vorhanden ist. Führen Sie den folgenden Befehl aus, um zu prüfen, ob Knotenobjekte ohne Rolle vorhanden sind:
Checking all poddisruptionbudgets...FAILURE
Reason: 1 pod disruption budget error(s).
Unhealthy Resources:
PodDisruptionBudget metrics-server: gke-managed-metrics-server/metrics-server might be configured incorrectly: the total replicas(1) should be larger than spec.MinAvailable(1).
Workaround:
Führen Sie den folgenden Befehl aus, um das PDB zu löschen:
Webhook der Binärautorisierung blockiert den Start des CNI Plug-ins, was dazu führt, dass einer der Nodepools nicht gestartet wird.
Unter seltenen Race-Bedingungen kann eine falsche Installationssequenz des Binärautorisierungs-Webhooks und des gke-connect-Pods dazu führen, dass die Erstellung des Nutzerclusters angehalten wird, da ein Knoten nicht den Bereitschaftszustand erreicht. In betroffenen Szenarien kann die Erstellung des Nutzerclusters verzögert werden, da ein Knoten nicht den Bereitschaftsstatus erreicht. In diesem Fall wird die folgende Meldung angezeigt:
Node pool is not ready: ready condition is not true: CreateOrUpdateNodePool: 2/3 replicas are ready
Wenn Sie die Blockierung eines fehlerhaften Knotens während der aktuellen Clustererstellung aufheben möchten, entfernen Sie vorübergehend die Webhook-Konfiguration für die Binärautorisierung im Nutzercluster mit dem folgenden Befehl.
Wenn der Bootstrap-Vorgang abgeschlossen ist, können Sie die folgende Webhook-Konfiguration neu hinzufügen.
apiVersion:admissionregistration.k8s.io/v1kind:ValidatingWebhookConfigurationmetadata:name:binauthz-validating-webhook-configurationwebhooks:-name:"binaryauthorization.googleapis.com"namespaceSelector:matchExpressions:-key:control-planeoperator:DoesNotExistobjectSelector:matchExpressions:-key:"image-policy.k8s.io/break-glass"operator:NotInvalues:["true"]rules:-apiGroups:-""apiVersions:-v1operations:-CREATE-UPDATEresources:-pods-pods/ephemeralcontainersadmissionReviewVersions:-"v1beta1"clientConfig:service:name:binauthznamespace:binauthz-systempath:/binauthz# CA Bundle will be updated by the cert rotator.caBundle:Cg==timeoutSeconds:10# Fail OpenfailurePolicy:"Ignore"sideEffects:None
Upgrades
1.16, 1.28, 1.29
CPV2 Nutzercluster-Upgrade bleibt aufgrund eines gespiegelten Rechners mit deletionTimestamp hängen
Während eines Nutzerclusterupgrades kann der Upgradevorgang hängen bleiben,
wenn das gespiegelte Maschinenobjekt im Nutzercluster ein
deletionTimestamp enthält. Wenn das Upgrade hängen bleibt, wird die folgende Fehlermeldung angezeigt:
machine is still in the process of being drained and subsequently removed
Dieses Problem kann auftreten, wenn Sie bereits versucht haben, den Knoten der Steuerungsebene des Nutzers zu reparieren, indem Sie gkectl delete machine für den gespiegelten Rechner im Nutzercluster ausgeführt haben.
Workaround:
Rufen Sie das gespiegelte Rechnerobjekt ab und speichern Sie es zu Sicherungszwecken in einer lokalen Datei.
Führen Sie den folgenden Befehl aus, um den Finalizer vom gespiegelten Computer zu löschen und zu warten, bis er aus dem Nutzercluster gelöscht wird.
gkectl upgrade cluster noch einmal ausführen, um das Upgrade fortzusetzen
Konfiguration, Installation
1.15, 1.16, 1.28, 1.29
Fehler beim Erstellen des Clusters aufgrund von virtueller IP-Adresse der Steuerungsebene in einem anderen Subnetz
Bei einem HA-Administratorcluster oder einem Steuerungsebene v2-Nutzercluster muss sich die VIP der Steuerungsebene im selben Subnetz wie andere Clusterknoten befinden. Andernfalls schlägt die Clustererstellung fehl, da kubelet nicht über die VIP der Steuerungsebene mit dem API-Server kommunizieren kann.
Workaround:
Prüfen Sie vor dem Erstellen des Clusters, ob die VIP der Steuerungsebene im selben Subnetz wie die anderen Clusterknoten konfiguriert wurde.
Installation, Upgrades, Updates
1.29.0 – 1.29.100
Fehler beim Erstellen/Upgraden des Clusters aufgrund eines Nicht-FQDN-vCenter-Nutzernamens
Das Erstellen/Upgrade von Clustern schlägt mit einem Fehler in vsphere CSI-Pods fehl, der darauf hinweist, dass der vCenter-Nutzername ungültig ist. Dies liegt daran, dass der verwendete Nutzername kein voll qualifizierter Domainname ist. Fehlermeldung im vsphere-csi-controller-Pod:
GetCnsconfig failed with err: username is invalid, make sure it is a fully qualified domain username
Dieses Problem tritt nur in Version 1.29 und höher auf, da dem vSphere-CSI-Treiber eine Validierung hinzugefügt wurde, um die Verwendung voll qualifizierter Domain-Nutzernamen zu erzwingen.
Workaround:
Verwenden Sie in der Konfigurationsdatei für Anmeldedaten einen voll qualifizierten Domainnamen für den vCenter-Nutzernamen. Anstelle von „nutzername1“ sollten Sie beispielsweise „nutzername1@beispiel.de“ verwenden.
Konfiguration
1.29.0
Falsche Warnmeldung für Cluster mit aktiviertem Dataplane V2
Wenn Sie gkectl ausführen, um einen Cluster zu erstellen, zu aktualisieren oder zu upgraden, bei dem Dataplane V2 bereits aktiviert ist, wird die folgende falsche Warnmeldung ausgegeben:
WARNING: Your user cluster is currently running our original architecture with
[DataPlaneV1(calico)]. To enable new and advanced features we strongly recommend
to update it to the newer architecture with [DataPlaneV2] once our migration
tool is available.
Es gibt einen Fehler in gkectl, der dazu führt, dass diese Warnung immer angezeigt wird, solange dataplaneV2.forwardMode nicht verwendet wird, auch wenn Sie enableDataplaneV2: true bereits in Ihrer Cluster-Konfigurationsdatei festgelegt haben.
Workaround:
Sie können diese Warnung einfach ignorieren.
Konfiguration
1.28.0-1.28.400, 1.29.0
Die Preflight-Prüfung für die Hochverfügbarkeit von Administratorclustern meldet die falsche Anzahl von erforderlichen statischen IP-Adressen
Wenn Sie einen Hochverfügbarkeits-Administratorcluster erstellen, zeigt die Preflight-Prüfung die folgende falsche Fehlermeldung:
- Validation Category: Network Configuration
- [FAILURE] CIDR, VIP and static IP (availability and overlapping): needed
at least X+1 IP addresses for admin cluster with X nodes
Die Anforderung ist für HA-Administratorcluster ab Version 1.28 nicht korrekt, da sie keine Add-on-Knoten mehr haben. Da die 3 IP-Adressen der Knoten der Steuerungsebene des Administratorclusters im Abschnitt network.controlPlaneIPBlock in der Konfigurationsdatei des Administratorclusters angegeben sind, werden die IP-Adressen in der IP-Blockdatei nur für die Knoten der Steuerungsebene des Nutzerclusters von kubeception benötigt.
Workaround:
Fügen Sie dem Befehl gkectl--skip-validation-net-config hinzu, um die falsche Preflight-Prüfung in einem nicht festen Release zu überspringen.
Vorgang
1.29.0-1.29.100
Connect Agent verliert die Verbindung zu Google Cloud nach der Migration eines Administratorclusters ohne HA zu einem HA-Administratorcluster
Wenn Sie von einem Nicht-HA-Administratorcluster zu einem HA-Administratorcluster migriert haben, verliert der Connect Agent im Administratorcluster die Verbindung zu gkeconnect.googleapis.com mit dem Fehler „Fehler bei der Prüfung der JWT-Signatur“. Das liegt daran, dass während der Migration der KSA-Signaturschlüssel geändert wird und daher eine erneute Registrierung erforderlich ist, um die OIDC JWKs zu aktualisieren.
Workaround:
Führen Sie die folgenden Schritte aus, um den Administratorcluster wieder mit Google Cloud zu verbinden und eine erneute Registrierung auszulösen:
Rufen Sie zuerst den Bereitstellungsnamen gke-connect ab:
Lösen Sie einen erzwungenen Abgleich für onprem-admin-cluster-controller aus, indem Sie eine „force-reconcile“-Annotation zur onpremadmincluster CR hinzufügen:
Der Gedanke dahinter ist, dass onprem-admin-cluster-controller die Bereitstellung von gke-connect und die Neuregistrierung des Clusters immer wieder neu vornimmt, wenn keine gke-connect-Bereitstellung vorhanden ist.
Nach der Problemumgehung (es kann einige Minuten dauern, bis der Controller den Abgleich abgeschlossen hat) können Sie überprüfen, ob der Fehler "Fehler beim Überprüfen der JWT-Signatur" 400 aus den gke-connect-agent-Logs verschwunden ist:
Brücken-IP-Adresse von Docker verwendet 172.17.0.1/16 für Knoten der COS-Cluster-Steuerungsebene
Google Distributed Cloud legt in der Docker-Konfiguration ein eigenes Subnetz, --bip=169.254.123.1/24, für die IP-Adresse der Docker-Brücke fest, um zu verhindern, dass das Standard-Subnetz 172.17.0.1/16 reserviert wird. In den Versionen 1.28.0-1.28.500 und 1.29.0 wurde der Docker-Dienst jedoch nicht neu gestartet, nachdem Google Distributed Cloud die Docker-Konfiguration aufgrund einer Regression im COS OS-Image angepasst hatte. Deshalb nutzt Docker das Standard-Subnetz 172.17.0.1/16 als Brücken-Subnetz für IP-Adressen. Dies kann zu einem Konflikt der IP-Adressen führen, wenn bereits Arbeitslast innerhalb dieses IP-Adressbereichs ausgeführt wird.
Workaround:
Sie müssen den Docker-Dienst neu starten, um dieses Problem zu umgehen:
sudosystemctlrestartdocker
Prüfen Sie, ob Docker die richtige Brücken-IP-Adresse nutzt:
ipa|grepdocker0
Hinweis: Diese Lösung bleibt bei der Neuerstellung von VMs nicht bestehen. Sie müssen diese Problemumgehung jedes Mal neu anwenden, wenn VMs neu erstellt werden.
update
1.28.0-1.28.400, 1.29.0-1.29.100
Die Verwendung mehrerer Netzwerkschnittstellen mit Standard-CNI funktioniert nicht
Die Standard-CNI-Binärprogramme bridge, ipvlan, vlan, macvlan, dhcp, tuning,
host-local, ptp, portmap sind nicht in den Betriebssystem-Images der betroffenen Versionen enthalten. Diese CNI-Binärdateien werden nicht von der Data Plane v2 verwendet, können aber für zusätzliche Netzwerkschnittstellen im Rahmen der Funktion für mehrere Netzwerkschnittstellen genutzt werden.
Mehrere Netzwerkschnittstellen mit diesen CNI-Plug-ins funktionieren nicht.
Workaround:
Führen Sie ein Upgrade auf die Version mit der Fehlerkorrektur durch, wenn Sie diese Funktion verwenden.
update
1.15, 1.16, 1.28
Netapp-Trident-Abhängigkeiten beeinträchtigen den vSphere-CSI-Treiber
Bei der Installation von multipathd auf Clusterknoten wird der vSphere-CSI-Treiber beeinträchtigt, was dazu führt, dass Nutzerarbeitslasten nicht gestartet werden können.
Workaround:
multipathd deaktivieren
Updates
1.15, 1.16
Der Webhook des Administratorclusters blockiert möglicherweise Updates, wenn Sie
Erforderliche Konfigurationen hinzufügen
Wenn einige erforderliche Konfigurationen im Administratorcluster leer sind, weil Validierungen übersprungen wurden, kann das Hinzufügen dieser Konfigurationen durch den Administratorcluster-Webhook blockiert werden. Wenn zum Beispiel das Feld gkeConnect in einem bestehenden Administratorcluster nicht festgelegt war, kann das Hinzufügen mit dem Befehl gkectl update admin die folgende Fehlermeldung auslösen:
admission webhook "vonpremadmincluster.onprem.cluster.gke.io" denied the request: connect: Required value: GKE connect is required for user clusters
Workaround:
Führen Sie für Administratorcluster der Version 1.15 den Befehl gkectl update admin mit dem Flag --disable-admin-cluster-webhook aus. Beispiel:
Das Feld controlPlaneNodePort ist standardmäßig auf 30968 gesetzt, wenn
die Spezifikation für manualLB leer ist
Wenn Sie einen manuellen Load Balancer verwenden (loadBalancer.kind ist auf "ManualLB" eingestellt), sollten Sie den Abschnitt loadBalancer.manualLB in der Konfigurationsdatei für einen Administratorcluster mit hoher Verfügbarkeit (HA) in Version 1.16 und höher nicht konfigurieren müssen. Wenn dieser Abschnitt jedoch leer ist, weist Google Distributed Cloud allen NodePorts, einschließlich manualLB.controlPlaneNodePort, Standardwerte zu, was dazu führt, dass die Cluster-Erstellung mit der folgenden Fehlermeldung fehlschlägt:
Der clusterapi-Controller kann abstürzen, wenn der Administratorcluster und ein Nutzercluster mit aktiviertem Steuerungsebene v2 unterschiedliche vSphere-Anmeldedaten verwenden.
Wenn ein Administratorcluster und ein Nutzercluster mit aktivierter Steuerungsebene v2 unterschiedliche vSphere-Anmeldedaten verwenden, z.B. nach einer Aktualisierung der vSphere-Anmeldedaten für den Administratorcluster, kann der clusterapi-controller nach einem Neustart möglicherweise keine Verbindung zum vCenter herstellen. Sehen Sie sich das Log des clusterapi-controllers an, der im Namespace „kube-system“ des Administratorclusters ausgeführt wird.
Aktualisieren Sie vSphere-Anmeldedaten, damit der Administratorcluster und alle Nutzercluster mit aktivierter Steuerungsebene v2 dieselben vSphere-Anmeldedaten verwenden.
Logging und Monitoring
1.14
etcd hohe Anzahl von fehlgeschlagenen GRPC-Anfragen im Prometheus Alert Manager
Prometheus kann Benachrichtigungen ähnlich wie die folgenden melden:
Führen Sie die folgenden Schritte aus, um zu prüfen, ob es sich bei dieser Benachrichtigung um ein falsch-positives Ergebnis handelt, das ignoriert werden kann:
Prüfen Sie den Rohmesswert „grpc_server_handled_total“ mit dem in der Warnmeldung angegebenen grpc_method. In diesem Beispiel prüfen Sie das Label grpc_code auf Watch.
Sie können diesen Messwert mit der folgenden MQL-Abfrage in Cloud Monitoring prüfen:
Wenn die Benachrichtigung nicht stummgeschaltet werden kann, gehen Sie so vor,
um falsch positive Ergebnisse zu unterdrücken:
Skalieren Sie den Monitoring-Operator auf 0 Replikate herunter, damit
damit die Änderungen dauerhaft bestehen.
Ändern Sie die ConfigMap prometheus-config und fügen Sie etcdHighNumberOfFailedGRPCRequests der Benachrichtigungskonfiguration grpc_method!="Watch" hinzu, wie im folgenden Beispiel gezeigt:
Ersetzen Sie CLUSTER_NAME durch den Namen Ihres Clusters.
Starten Sie das Prometheus- und Alertmanager-Statefulset neu, um die neue Konfiguration zu übernehmen.
Wenn der Code in einen der problematischen Fälle fällt, prüfen Sie die Logs von etcd und kube-apiserver, um weitere Fehler zu beheben.
Netzwerk
1.16.0-1.16.2, 1.28.0
Langlebige NAT-Verbindungen für ausgehenden Traffic werden unterbrochen
NAT-Verbindungen für ausgehenden Traffic können nach 5 bis 10 Minuten nach dem Aufbau der Verbindung abgebrochen werden, wenn kein Traffic vorhanden ist.
Da Conntrack nur für die eingehende Richtung (externe Verbindungen zum Cluster) relevant ist, tritt dieses Problem nur auf, wenn die Verbindung eine Weile keine Informationen überträgt und dann etwas von der Zielseite übertragen wird. Wenn der Pod für ausgehenden NAT-Traffic immer die Benachrichtigung instanziiert, wird dieses Problem nicht auftreten.
Dieses Problem tritt auf, weil die automatische Speicherbereinigung von anetd versehentlich Conntrack-Einträge entfernt, die der Daemon als nicht verwendet betrachtet.
Eine vorgelagerte Lösung
wurde kürzlich in anetd integriert, um das Verhalten zu korrigieren.
Workaround:
Es gibt keine einfache Problemumgehung, und wir haben in Version 1.16 keine Probleme mit diesem Verhalten festgestellt. Wenn Sie feststellen, dass langlebige Verbindungen aufgrund dieses Problems getrennt wurden, verwenden Sie zur Problemumgehung eine Arbeitslast auf demselben Knoten wie die IP-Adresse für ausgehenden Traffic oder senden Sie Nachrichten konsistent über die TCP-Verbindung.
Vorgang
1.14, 1.15, 1.16
Der CSR-Unterzeichner ignoriert spec.expirationSeconds beim Signieren von
Zertifikaten
Wenn Sie eine CertificateSigningRequest (CSR) mit
expirationSeconds festlegen, wird expirationSeconds ignoriert.
Workaround:
Wenn Sie von diesem Problem betroffen sind, können Sie Ihren Nutzercluster aktualisieren, indem Sie disableNodeIDVerificationCSRSigning: true in der Konfigurationsdatei des Nutzerclusters hinzufügen und den Befehl gkectl update cluster ausführen, um den Cluster mit dieser Konfiguration zu aktualisieren.
Netzwerk, Upgrades, Updates
1.16.0-1.16.3
Die Validierung des Nutzercluster-Load-Balancers schlägt fehl für
disable_bundled_ingress
[FAILURE] Config: ingress IP is required in user cluster spec
Dieser Fehler tritt auf, weil gkectl während der Preflight-Prüfungen nach einer Load Balancer-Ingress-IP-Adresse sucht. Obwohl diese Prüfung nicht erforderlich ist, wenn gebündelter eingehenden Traffic deaktiviert wird, schlagen die gkectl Preflight-Prüfung fehl, wenn disableBundledIngress auf true festgelegt ist.
Workaround:
Verwenden Sie den Parameter --skip-validation-load-balancer, wenn Sie den Cluster aktualisieren, wie im folgenden Beispiel gezeigt:
Updates von Administratorclustern schlagen nach der CA-Rotation fehl
Wenn Sie die CA-Zertifikate eines Administratorclusters rotieren, schlagen nachfolgende Versuche, den Befehl gkectl update admin auszuführen, fehl.
Der zurückgegebene Fehler sieht in etwa so aus:
failed to get last CARotationStage: configmaps "ca-rotation-stage" not found
Workaround:
Wenn Sie von diesem Problem betroffen sind, können Sie Ihren Administratorcluster aktualisieren, indem Sie das Flag --disable-update-from-checkpoint mit dem gkectl update admin-Befehl verwenden:
Wenn Sie das Flag --disable-update-from-checkpoint verwenden, verwendet der Update-Befehl die Prüfpunktdatei während der Clusteraktualisierung nicht als „Source of Truth“. Die Checkpoint-Datei wird weiterhin für die zukünftige Verwendung aktualisiert.
Speicher
1.15.0-1.15.6, 1.16.0-1.16.2
Preflight-Prüfung der CSI-Arbeitslast schlägt aufgrund eines Pod-Startfehlers fehl
Während der Preflight-Prüfung installiert die CSI-Workload-Validierungsprüfung einen Pod im Namespace default. Der CSI-Arbeitslast-Pod prüft, ob der vSphere CSI-Treiber installiert ist und dynamische Volume-Bereitstellung durchführen kann. Wenn dieser Pod nicht startet, schlägt die CSI-Prüfung der Arbeitslast fehl.
Es gibt einige bekannte Probleme, die verhindern können, dass dieser Pod gestartet wird:
Wenn für den Pod keine Ressourcenlimits angegeben sind, was bei einigen Clustern mit installierten Zulassungs-Webhooks der Fall ist, wird der Pod nicht gestartet.
Wenn Cloud Service Mesh im Cluster installiert ist und die automatische Istio-Sidecar-Injektion im Namespace default aktiviert ist, wird der CSI-Arbeitslast-Pod nicht gestartet.
Wenn der CSI-Arbeitslast-Pod nicht gestartet wird, wird während der Preflight-Validierung ein Zeitüberschreitungsfehler wie der folgende angezeigt:
Prüfen Sie, ob der Fehler auf zu wenige festgelegte Pod-Ressourcen zurückzuführen ist. Führen Sie dazu den Befehl
Befehl „anthos-csi-workload-writer-<run-id>“ aus, um den Jobstatus zu prüfen:
Wenn der CSI-Arbeitslast-Pod aufgrund einer Istio-Sidecar-Einschleusung nicht gestartet wird,
können Sie die automatische Istio-Sidecar-Einfügung vorübergehend im
default-Namespace deaktivieren. Prüfen Sie die Labels des Namespace und verwenden Sie den folgenden Befehl, um das Label zu löschen, das mit istio.io/rev beginnt:
kubectllabelnamespacedefaultistio.io/rev-
Wenn der Pod falsch konfiguriert ist, prüfen Sie manuell, ob die dynamische Volume-Bereitstellung mit dem vSphere-CSI-Treiber funktioniert:
Erstellen Sie einen PVC, der die Speicherklasse standard-rwo verwendet.
Erstellen Sie einen Pod, der den PVC verwendet.
Stellen Sie sicher, dass der Pod Daten auf das Volume lesen/schreiben kann.
Entfernen Sie den Pod und den PVC, nachdem Sie den ordnungsgemäßen Betrieb geprüft haben.
Wenn die dynamische Volume-Bereitstellung mit dem vSphere-CSI-Treiber funktioniert, führen Sie gkectl diagnose oder gkectl upgrade mit dem Flag --skip-validation-csi-workload aus, um die CSI-Arbeitslastprüfung zu überspringen.
Vorgang
1.16.0-1.16.2
Zeitüberschreitungen für die Aktualisierung von Nutzerclustern bei Administratorclusterversion 1.15
Wenn Sie bei einer nutzerverwalteten Administratorworkstation angemeldet sind, kann es vorkommen, dass der Befehl gkectl update cluster eine Zeitüberschreitung verursacht und der Nutzercluster nicht aktualisiert werden kann. Das passiert, wenn
die Version des Administratorclusters 1.15 ist und Sie gkectl update admin ausführen, bevor Sie gkectl update cluster ausführen.
Wenn dieser Fehler auftritt, wird der folgende Fehler angezeigt, wenn Sie versuchen, den Cluster zu aktualisieren:
Preflight check failed with failed to run server-side preflight checks: server-side preflight checks failed: timed out waiting for the condition
Preflight check failed with failed to run server-side preflight checks: server-side preflight checks failed: timed out waiting for the condition
Während der Aktualisierung eines Administratorclusters mit Version 1.15 wird der validation-controller, der die Preflight-Prüfungen auslöst, aus dem Cluster entfernt. Wenn Sie dann versuchen, den Nutzercluster zu aktualisieren, bleibt der Preflight-Check hängen, bis die Zeitüberschreitung erreicht ist.
Workaround:
Führen Sie den folgenden Befehl aus, um validation-controller neu bereitzustellen:
Führen Sie nach Abschluss der Vorbereitung den Befehl gkectl update cluster noch einmal aus, um den Nutzercluster zu aktualisieren.
Vorgang
1.16.0-1.16.2
Nutzercluster erstellen Zeitüberschreitungen, wenn die Version des Administratorclusters 1.15 ist
Wenn Sie bei einer nutzerverwalteten Administratorworkstation angemeldet sind, kann es vorkommen, dass der Befehl gkectl create cluster eine Zeitüberschreitung verursacht und der Nutzercluster nicht erstellt werden kann. Das passiert, wenn
die Version des Administratorclusters 1.15 ist.
Wenn dieser Fehler auftritt, wird beim Erstellen des Clusters der folgende Fehler angezeigt:
Preflight check failed with failed to run server-side preflight checks: server-side preflight checks failed: timed out waiting for the condition
Preflight check failed with failed to run server-side preflight checks: server-side preflight checks failed: timed out waiting for the condition
Da validation-controller in 1.16 hinzugefügt wurde, fehlt bei Verwendung des 1.15-Administratorclusters die validation-controller, die für das Auslösen der Preflight-Prüfungen verantwortlich ist. Wenn Sie also versuchen, einen Nutzercluster zu erstellen, bleiben die Preflight-Prüfungen hängen, bis eine Zeitüberschreitung erreicht ist.
Workaround:
Führen Sie den folgenden Befehl aus, um den validation-controller bereitzustellen:
Führen Sie nach Abschluss der Vorbereitung den Befehl gkectl create cluster noch einmal aus, um den Nutzercluster zu erstellen.
Upgrades, Updates
1.16.0-1.16.2
Das Update oder das Upgrade des Administratorclusters schlägt fehl, wenn die Projekte oder Standorte der Add-on-Dienste nicht übereinstimmen.
Wenn Sie einen Administratorcluster von Version 1.15.x auf 1.16.x upgraden oder connect-, stackdriver-, cloudAuditLogging- oder gkeOnPremAPI-Konfiguration hinzufügen, wenn Sie einen Administratorcluster aktualisieren, wird der Vorgang möglicherweise vom Administrator-Cluster-Webhook abgelehnt. Eine der folgenden Fehlermeldungen wird möglicherweise angezeigt:
"projects for connect, stackdriver and cloudAuditLogging must be the
same when specified during cluster creation."
"locations for connect, gkeOnPremAPI, stackdriver and
cloudAuditLogging must be in the same region when specified during
cluster creation."
"locations for stackdriver and cloudAuditLogging must be the same
when specified during cluster creation."
Eine Aktualisierung oder ein Upgrade des Administratorclusters erfordert, dass onprem-admin-cluster-controller den Administratorcluster in einem Kind-Cluster abgleicht. Wenn der Administratorcluster-Status im Administratorcluster wiederhergestellt wird, kann der Administratorcluster-Webhook nicht unterscheiden, ob das OnPremAdminCluster-Objekt für die Erstellung eines Administratorclusters oder für die Wiederaufnahme von Vorgängen für ein Update oder Upgrade bestimmt ist. Einige Validierungen, die nur für die Erstellung gelten, werden bei Aktualisierungen und Upgrades unerwartet aufgerufen.
Workaround:
Fügen Sie die Annotation onprem.cluster.gke.io/skip-project-location-sameness-validation: true zum OnPremAdminCluster-Objekt hinzu:
Bearbeiten Sie die Clusterressource onpremadminclusters:
ADMIN_CLUSTER_NAME: der Name des Administratorclusters.
ADMIN_CLUSTER_KUBECONFIG: der Pfad der kubeconfig-Datei des Administratorclusters.
Fügen Sie die onprem.cluster.gke.io/skip-project-location-sameness-validation: true-Annotation hinzu und speichern Sie die benutzerdefinierte Ressource.
Führen Sie je nach Typ der Administratorcluster einen der
folgende Schritte aus:
Für Nicht-HA-Administratorcluster mit einer Prüfpunktdatei fügen Sie den Parameter disable-update-from-checkpoint in den Update-Befehl ein, oder fügen Sie den Parameter „disable-upgrade-from-checkpoint“ in den Upgrade-Befehl ein. Diese Parameter werden nur für die nächste Ausführung des Befehls update oder upgrade benötigt:
Bei Hochverfügbarkeits-Administratorclustern oder falls eine Checkpoint-Datei deaktiviert ist:
Administratorcluster wie gewohnt aktualisieren oder upgraden. Keine zusätzlichen Parameter sind für die Aktualisierungs- oder Upgradebefehle erforderlich.
Vorgang
1.16.0-1.16.2
Das Löschen von Nutzerclustern schlägt bei Verwendung einer vom Nutzer verwalteten Administratorworkstation fehl
Wenn Sie bei einer nutzerverwalteten Administratorworkstation angemeldet sind, kann es vorkommen, dass der Befehl gkectl delete cluster eine Zeitüberschreitung verursacht und der Nutzercluster nicht gelöscht werden kann. Dies geschieht, wenn Sie zuerst gkectl auf der nutzerverwalteten Workstation ausgeführt haben, um den Nutzercluster zu erstellen, zu aktualisieren oder ein Upgrade durchzuführen. Wenn dieser Fehler auftritt, erhalten Sie den folgenden Fehler, wenn Sie versuchen, den Cluster zu löschen:
failed to wait for user cluster management namespace "USER_CLUSTER_NAME-gke-onprem-mgmt"
to be deleted: timed out waiting for the condition
Dabei werden zuerst alle zugehörigen Objekte eines Clusters gelöscht. Das Löschen der Validierungsobjekte, die während der Erstellung, Aktualisierung oder des Upgrades erstellt wurden, bleiben in der Löschphase hängen. Das passiert, weil ein Finalizer das Löschen des Objekts blockiert, was dazu führt, dass das Löschen des Clusters fehlschlägt.
Workaround:
Rufen Sie die Namen aller Validierungsobjekte ab:
kubectl --kubeconfig ADMIN_KUBECONFIG get validations \
-n USER_CLUSTER_NAME-gke-onprem-mgmt
Führen Sie für jedes Validierungsobjekt den folgenden Befehl aus, um den
Finalizer aus dem Validierungsobjekt zu entfernen:
Nachdem der Finalizer aus allen Validierungsobjekten entfernt wurde, werden die Objekte entfernt und der Löschvorgang für den Nutzercluster wird automatisch abgeschlossen. Sie müssen nichts weiter tun.
Netzwerk
1.15, 1.16
Ausgehender NAT-Gateway-Traffic zum externen Server schlägt fehl
Wenn sich der Quell-Pod und der Egress-NAT-Gateway-Pod auf zwei verschiedenen Worker-Knoten befinden, kann der Traffic vom Quell-Pod keine externen Dienste erreichen. Befinden sich die Pods auf demselben Host, ist die Verbindung zum externen Dienst oder zur externen Anwendung erfolgreich.
Dieses Problem wird dadurch verursacht, dass vSphere VXLAN-Pakete löscht, wenn die Tunnelaggregation aktiviert ist. Es gibt ein bekanntes Problem mit NSX und VMware, wobei nur
aggregierter Traffic an bekannte VXLAN-Ports (4789) gesendet wird.
Workaround:
Ändern Sie den von Cilium verwendeten VXLAN-Port in 4789:
Dieser Workaround wird mit jedem Upgrade des Clusters rückgängig gemacht. Sie muss nach jedem Upgrade neu konfiguriert werden. VMware muss das Problem in vSphere beheben,
um eine dauerhafte Lösung zu finden.
Speicher
1.11-1.16
Laufwerkfehler und Fehler beim Anhängen, wenn Changed Block Tracking (CBT) verwendet wird
Google Distributed Cloud unterstützt kein Changed Block Tracking (CBT) auf Laufwerken. Einige Sicherungssoftware verwendet das CBT-Feature, um den Laufwerkstatus zu verfolgen und Sicherungen durchzuführen. Dies führt dazu, dass das Laufwerk keine Verbindung zu einer VM herstellen kann, auf der Google Distributed Cloud ausgeführt wird. Weitere Informationen finden Sie in der
VMware-Wissensdatenbank
Workaround:
Sichern Sie die Google Distributed Cloud-VMs nicht, da Sicherungssoftware von Drittanbietern dazu führen kann, dass CBT auf ihren Laufwerken aktiviert wird. Es ist nicht notwendig,
diese VMs zu sichern.
Aktivieren Sie CBT auf dem Knoten nicht, da diese Änderung nicht über Updates oder Upgrades hinweg beibehalten wird.
Wenn Sie bereits Laufwerke mit aktiviertem CBT haben, befolgen Sie die Schritte zur Lösung im VMware-Wissensdatenbank-Artikel, um CBT auf dem First-Class-Laufwerk zu deaktivieren.
Speicher
1.14, 1.15, 1.16
Datenbeschädigung unter NFSv3, wenn parallele Anfügungen an eine freigegebene Datei
von mehreren Hosts aus durchgeführt werden,
Wenn Sie Nutanix-Speicher-Arrays verwenden, um Ihren Hosts NFSv3-Freigaben zur Verfügung zu stellen, kann es zu Datenbeschädigungen kommen oder Pods werden möglicherweise nicht erfolgreich ausgeführt. Dieses Problem wird durch ein bekanntes Kompatibilitätsproblem zwischen bestimmten VMware- und
Nutanix-Versionen verursacht. Weitere Informationen
Informationen finden Sie im zugehörigen Artikel in der
VMware-Wissensdatenbank.
Workaround:
Der VMware-KB-Artikel ist veraltet, da er darauf hinweist, dass es keine aktuelle Lösung gibt. Führen Sie zur Behebung dieses Problems ein Update auf die neueste Version von ESXi auf Ihren Hosts und auf die neueste Nutanix-Version auf Ihren Speicher-Arrays durch.
Betriebssystem
1.13.10, 1.14.6, 1.15.3
Versionsabweichung zwischen Kubelet und der Kubernetes-Steuerungsebene
Bei bestimmten Google Distributed Cloud-Versionen verwendet das Kubelet, das auf den Knoten ausgeführt wird, eine andere Version als die Steuerungsebene von Kubernetes. Es liegt eine Abweichung vor, weil das auf dem Image des Betriebssystems vorinstallierte Kubelet-Binärprogramm eine andere Version verwendet.
In der folgenden Tabelle sind die erkannten nicht übereinstimmenden Versionen aufgeführt:
Google Distributed Cloud-Version
Kubelet-Version
Kubernetes-Version
1.13.10
v1.24.11-gke.1200
v1.24.14-gke.2100
1.14.6
v1.25.8-gke.1500
v1.25.10-gke.1200
1.15.3
v1.26.2-gke.1001
v1.26.5-gke.2100
Workaround:
Sie müssen nichts tun. Die Inkonsistenz besteht nur zwischen den Kubernetes-Patch-Versionen und es wurden keine Probleme durch diese Versionsabweichung verursacht.
Vorgang
1.13, 1.14.0-1.14.8, 1.15.0-1.15.4, 1.16.0-1.16.1
Löschen von Nicht-HA-Steuerungsebenen-V2-Clustern hängt bis Zeitüberschreitung
Wenn ein Nicht-HA-Steuerungsebenencluster gelöscht wird, bleibt er beim Löschen des Knotens hängen, bis er das Zeitlimit überschreitet.
Workaround:
Wenn der Cluster ein StatefulSet mit kritischen Daten enthält, wenden Sie sich an
Cloud Customer Care, um
dieses Problem zu beheben.
Andernfalls gehen Sie so vor:
Löschen Sie alle Cluster-VMs aus vSphere. Sie können die VMs über die vSphere-UI löschen oder den folgenden Befehl ausführen:
govcvm.destroy
.
Erzwingen Sie noch einmal das Löschen des Clusters:
Konstante CNS-attachvolume-Aufgaben werden für integriertes PVC/PV nach dem Upgrade auf Version 1.15 oder höher jede Minute angezeigt.
Wenn ein Cluster integrierte nichtflüchtige vSphere-Volumes enthält (z. B. PVCs, die mit der Speicherklasse standard erstellt wurden), beobachten Sie com.vmware.cns.tasks.attachvolume-Aufgaben, die jede Minute von vCenter ausgelöst werden.
Workaround:
Bearbeiten Sie das vSphere-CSI-Feature configMap und setzen Sie list-volumes auf „false“:
Wenn ein Cluster integrierte nichtflüchtige vSphere-Volumes enthält, lösen die Befehle
gkectl diagnose und gkectl upgrade beim Validieren der Cluster-Speichereinstellungen möglicherweise
falsche Warnungen vor ihren Anforderungen an nichtflüchtigen Volumes (Persistent Volume Claims, PVCs) aus. Die Warnmeldung sieht so aus:
Die Rotation des Dienstkontoschlüssels schlägt fehl, wenn mehrere Schlüssel abgelaufen sind
Wenn Ihr Cluster keine private Registry verwendet und Ihre Dienstkontenschlüssel für den Komponentenzugriff und das Logging-Monitoring (oder Connect-Register) abgelaufen sind, schlägt gkectl update credentials bei der Rotation der Dienstkontenschlüssel mit einer Fehlermeldung ähnlich der folgenden fehl:
Rotieren Sie zuerst den Dienstkontoschlüssel für den Komponentenzugriff. Obwohl dieselbe Fehlermeldung angezeigt wird, sollten Sie die anderen Schlüssel nach der Rotation der Dienstkontoschlüssel für den Komponentenzugriff rotieren können.
1.15 Der Master-Computer des Nutzers stößt auf eine unerwartete Neuerstellung, wenn der Nutzercluster-Controller auf 1.16 aktualisiert wird
Wenn Sie während eines Upgrades eines Nutzerclusters nach dem Upgrade des Nutzercluster-Controllers auf 1.16 andere Nutzercluster haben, die von demselben Administratorcluster verwaltet werden, kann es vorkommen, dass deren Master-Nutzercomputer unerwartet neu erstellt wird.
Im Nutzercluster-Controller der Version 1.16 liegt ein Fehler vor, der die Neuerstellung der Nutzermaster-Maschine in Version 1.15 auslösen kann.
Die Problemumgehung hängt davon ab, wie das Problem auftritt.
Problemumgehung beim Upgrade des Nutzerclusters über die Google Cloud Console:
Option 1: Verwenden Sie Version 1.16.6 oder höher von GKE on VMware mit der Lösung.
Option 2: Führen Sie die folgenden Schritte aus:
Fügen Sie die Annotation zum Wiederholen mit dem folgenden Befehl manuell hinzu:
Überwachen Sie den Upgradefortschritt, indem Sie das Feld status des OnPremUserClusters prüfen.
Problemumgehung beim Upgrade des Nutzerclusters mit Ihrer eigenen Administratorworkstation:
Option 1: Verwenden Sie Version 1.16.6 oder höher von GKE on VMware mit der Lösung.
Option 2: Gehen Sie so vor:
Fügen Sie die Build-Infodatei /etc/cloud/build.info mit folgendem Inhalt hinzu. Dadurch werden die Preflight-Prüfungen lokal auf Ihrer Administratorworkstation und nicht auf dem Server ausgeführt.
gke_on_prem_version:GKE_ON_PREM_VERSION
Beispiel:
gke_on_prem_version:1.16.0-gke.669
Führen Sie den Upgradebefehl noch einmal aus.
Löschen Sie nach Abschluss des Upgrades die Datei build.info.
Erstellen
1.16.0-1.16.5, 1.28.0-1.28.100
Die Preflight-Prüfung schlägt fehl, wenn der Hostname nicht in der IP-Blockdatei enthalten ist.
Wenn Sie bei der Clustererstellung nicht für jede IP-Adresse in der IP-Blockdatei einen Hostnamen angeben, schlägt die Preflight-Prüfung mit folgender Fehlermeldung fehl:
Aufgrund eines Fehlers wird ein leerer Hostname bei der Preflight-Prüfung als Duplikat betrachtet.
Workaround:
Option 1: Verwenden Sie eine Version mit der Fehlerkorrektur.
Option 2: Diese Preflight-Prüfung durch Hinzufügen des Flags --skip-validation-net-config umgehen.
Option 3: Geben Sie für jede IP-Adresse in der IP-Blockdatei einen eindeutigen Hostnamen an.
Upgrades, Updates
1.16
Fehler bei der Volume-Bereitstellung beim Upgrade/Aktualisieren des Administratorclusters, wenn ein Nicht-HA-Administratorcluster und der v1-Nutzercluster der Steuerungsebene verwendet werden
Bei einem Nicht-HA-Administratorcluster und einem Nutzercluster auf Steuerungsebene v1 kann es vorkommen, dass bei einem Upgrade oder einer Aktualisierung des Administratorclusters der Neustart des Administratorcluster-Mastercomputers gleichzeitig mit dem Neustart des Nutzercluster-Mastercomputers erfolgt, was zu einer Race-Bedingung führen kann.
Dadurch können die Pods der Nutzercluster-Steuerungsebene nicht mit der Steuerungsebene des Administratorclusters kommunizieren. Dies führt zu Problemen beim Anhängen von Volumes für kube-etcd und kube-apiserver auf der Steuerungsebene des Nutzerclusters.
Führen Sie die folgenden Befehle für den betroffenen Pod aus, um das Problem zu verifizieren:
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Warning FailedMount 101s kubelet Unable to attach or mount volumes: unmounted volumes=[kube-audit], unattached volumes=[], failed to process volumes=[]: timed out waiting for the condition
Warning FailedMount 86s (x2 over 3m28s) kubelet MountVolume.SetUp failed for volume "pvc-77cd0635-57c2-4392-b191-463a45c503cb" : rpc error: code = FailedPrecondition desc = volume ID: "bd313c62-d29b-4ecd-aeda-216648b0f7dc" does not appear staged to "/var/lib/kubelet/plugins/kubernetes.io/csi/csi.vsphere.vmware.com/92435c96eca83817e70ceb8ab994707257059734826fedf0c0228db6a1929024/globalmount"
Starten Sie das Kubelet mit dem folgenden Befehl neu:
sudosystemctlrestartkubelet
Nach dem Neustart kann das Kubelet die globale Bereitstellung der Stufe ordnungsgemäß rekonstruieren.
Upgrades, Updates
1.16.0
Knoten der Steuerungsebene kann nicht erstellt werden
Während eines Upgrades oder Updates eines Administratorclusters kann eine Race-Bedingung
dazu führen, dass der vSphere Cloud Controller-Manager unerwartet einen neuen
Knoten der Steuerungsebene löscht. Dies führt dazu, dass der clusterapi-Controller auf die Erstellung des Knotens warten muss und sogar das Upgrade/Update ausfällt. In diesem Fall sieht die Ausgabe des Befehls gkectl upgrade/update ähnlich aus wie die folgende:
controlplane'default/gke-admin-hfzdg'isnotready:condition"Ready":conditionisnotreadywithreason"MachineInitializing",message"Wait for the control plane machine "gke-admin-hfzdg-6598459f9zb647c8-0\"toberebooted"...
Führen Sie den folgenden Befehl aus, um das Symptom zu identifizieren und die Logs im vSphere Cloud Controller-Manager im Administratorcluster abzurufen:
Führen Sie den Upgrade-/Update-Befehl noch einmal aus.
Vorgang
1.16
Doppelter Hostname im selben Rechenzentrum führt zu Fehlern beim Clusterupgrade oder bei der Erstellung
Das Upgrade eines 1.15-Clusters oder das Erstellen eines 1.16-Clusters mit statischen IP-Adressen schlägt fehl, wenn im selben Rechenzentrum doppelte Hostnamen vorhanden sind. Dieser Fehler tritt auf, weil der vSphere Cloud Controller Manager keine externe IP-Adresse und Anbieter-ID im Knotenobjekt hinzufügen kann. Dadurch kommt es zu einer Zeitüberschreitung beim Upgrade/Erstellen des Clusters.
Rufen Sie zum Identifizieren des Problems die Pod-Logs des vSphere Cloud Controller-Managers für den Cluster ab. Welchen Befehl Sie verwenden,
hängt vom Clustertyp ab:
Wenn es sich um einen Administratorcluster ohne Hochverfügbarkeit handelt und Sie feststellen, dass die Administrator-Master-VM einen doppelten Hostnamen verwendet, müssen Sie außerdem Folgendes tun: Name der Administrator-Master-Maschine abrufen
Administrator-Master-Maschinenobjekt aktualisieren Hinweis:: Der NEW_ADMIN_MASTER_HOSTNAME muss mit dem Wert übereinstimmen, den Sie in Schritt 1 in der Datei „admin-ip-block.yaml“ festgelegt haben.
Verwenden Sie eine Version 1.16.4 oder höher von Google Distributed Cloud mit der Fehlerbehebung oder führen Sie die folgende Problemumgehung durch. Die Problemumgehung hängt davon ab, welcher Vorgang fehlgeschlagen ist.
Problemumgehung für Upgrades:
Ändern Sie den vCenter-Nutzernamen oder das -Passwort auf vCenter-Seite, um $ und ` zu entfernen.
Fehler bei der PVC-Erstellung, nachdem der Knoten mit demselben Namen neu erstellt wurde
Nachdem ein Knoten gelöscht und dann mit demselben Knotennamen neu erstellt wurde, besteht die Möglichkeit, dass die nachfolgende Erstellung von PersistentVolumeClaim (PVC) mit einem Fehler wie dem folgenden fehlschlägt:
gkectl repair admin-master gibt einen kubeconfig-unmarshall-Fehler zurück
Wenn Sie den Befehl gkectl repair admin-master für einen Hochverfügbarkeits-Administratorcluster ausführen, gibt gkectl die folgende Fehlermeldung zurück:
Rufen Sie im vSphere-Client die Seite Hosts und Cluster auf.
Klicken Sie auf VM-Vorlagen und filtern Sie nach dem Namen des Administratorclusters.
Sie sollten die drei VM-Vorlagen für den Administratorcluster sehen.
Kopieren Sie die VM-Namensvorlage, die mit dem Namen der zu reparierenden Maschine übereinstimmt, und verwenden Sie den Vorlagennamen im Reparaturbefehl.
Seesaw-VM aufgrund von zu wenig Speicherplatz unterbrochen
Wenn Sie Seesaw als Load Balancer-Typ für Ihren Cluster verwenden und feststellen, dass eine Seesaw-VM ausfällt oder nicht mehr hochfährt, sehen Sie möglicherweise die folgende Fehlermeldung in der vSphere Console:
Dieser Fehler deutet darauf hin, dass der Laufwerksspeicher auf der VM knapp ist, weil das auf der Seesaw-VM ausgeführte Fluent-Bit nicht mit der richtigen Log-Rotation konfiguriert ist.
Workaround:
Suchen Sie mit du -sh -- /var/lib/docker/containers/* | sort -rh nach den Logdateien, die den meisten Speicherplatz belegen. Bereinigen Sie die Logdatei mit der größten Größe und starten Sie die VM neu.
Hinweis: Wenn auf die VM nicht zugegriffen werden kann, hängen Sie das Laufwerk an eine funktionierende VM an (z. B. Administratorworkstation), entfernen Sie die Datei vom angehängten Laufwerk und hängen Sie das Laufwerk wieder an die ursprüngliche Seesaw-VM an.
Damit das Problem nicht noch einmal auftritt, stellen Sie eine Verbindung zur VM her und ändern die Datei /etc/systemd/system/docker.fluent-bit.service. Fügen Sie im Docker-Befehl --log-opt max-size=10m --log-opt max-file=5 hinzu und führen Sie dann systemctl restart docker.fluent-bit.service aus
Vorgang
1.13, 1.14.0-1.14.6, 1.15
Fehler im öffentlichen SSH-Schlüssel des Administrators nach Upgrade oder Update des Administratorclusters
Beim Versuch, ein Upgrade (gkectl upgrade admin) oder ein Update (gkectl update admin) eines Administratorclusters ohne Hochverfügbarkeit mit aktiviertem Prüfpunkt durchzuführen, kann das Upgrade oder Update mit Fehlern wie den folgenden fehlschlagen:
Wenn Sie mit der Fehlerbehebung kein Upgrade auf eine Patchversion von Google Distributed Cloud durchführen können,
wenden Sie sich an den Google-Support.
Upgrades
1.13.0-1.13.9, 1.14.0-1.14.6, 1.15.1-1.15.2
Das Upgrade eines Administratorclusters, der in der GKE On-Prem API registriert ist, kann fehlschlagen
Wenn ein Administratorcluster in der GKE On-Prem API registriert ist, schlägt ein Upgrade des
Administratorcluster auf die betroffenen Versionen möglicherweise fehl, da die Flottenmitgliedschaft
nicht aktualisiert werden konnte. Wenn dieser Fehler auftritt, erhalten Sie den folgenden Fehler, wenn Sie versuchen, ein Upgrade für den Cluster auszuführen:
und setzen Sie das Upgrade des Administratorclusters fort. Möglicherweise sehen Sie vorübergehend die veraltete Fehlermeldung „Failed to register cluster“ (Cluster konnte nicht registriert werden). Nach einer Weile sollte er automatisch aktualisiert werden.
Upgrades, Updates
1.13.0-1.13.9, 1.14.0-1.14.4, 1.15.0
Die Annotation der Ressourcenverknüpfung des angemeldeten Administratorclusters wird nicht beibehalten
Wenn ein Administratorcluster bei der GKE On-Prem-API angemeldet wird, wird seine Ressource-Link-Annotation auf die benutzerdefinierte OnPremAdminCluster-Ressource angewendet, die bei späteren Administratorcluster-Aktualisierungen nicht erhalten bleibt, da der falsche Annotationsschlüssel verwendet wird. Dies kann dazu führen, dass der Administratorcluster sich versehentlich wieder bei der GKE On-Prem API registriert.
OnPremAdminCluster-Status zwischen Prüfpunkt und tatsächlicher Antwortvorlage inkonsistent
Bestimmte Race-Bedingungen können dazu führen, dass der OnPremAdminCluster-Status zwischen dem Prüfpunkt und der tatsächlichen Antwortvorlage nicht konsistent ist. Wenn das Problem auftritt, kann die folgende Fehlermeldung auftreten, wenn Sie den Administratorcluster nach dem Upgrade aktualisieren:
Um dieses Problem zu umgehen, müssen Sie den Prüfpunkt entweder bearbeiten oder für das Upgrade/Update deaktivieren. Wenden Sie sich an unser Supportteam, um die Umgehung durchzuführen.
Vorgang
1.13.0-1.13.9, 1.14.0-1.14.5, 1.15.0-1.15.1
Änderungen an Administratorzertifikaten für Administratorcluster beim Abgleich
Google Distributed Cloud ändert die Admin-Zertifikate auf Administratorcluster-Steuerebenen bei jedem Abstimmungsprozess, z. B. bei einem Cluster-Upgrade. Dieses Verhalten
erhöht das Risiko ungültiger Zertifikate für Ihren Administratorcluster,
insbesondere bei Clustern der Version 1.15.
Wenn Sie von diesem Problem betroffen sind, können Probleme wie die folgenden auftreten:
Ungültige Zertifikate können zu einer Zeitüberschreitung bei den folgenden Befehlen führen und
Fehler zurückgeben:
gkectl create admin
gkectl upgrade amdin
gkectl update admin
Diese Befehle können Autorisierungsfehler wie die folgenden zurückgeben:
Führen Sie ein Upgrade auf eine Version von Google Distributed Cloud mit der Fehlerbehebung durch:
1.13.10+, 1.14.6+, 1.15.2+.
Wenn kein Upgrade möglich ist, wenden Sie sich an Cloud Customer Care, um das Problem zu beheben.
Netzwerk, Vorgang
1.10, 1.11, 1.12, 1.13, 1.14
Anthos Network Gateway-Komponenten wurden aufgrund fehlender Prioritätsklasse entfernt oder sind ausstehend
Netzwerk-Gateway-Pods in kube-system können den Status Pending oder Evicted anzeigen, wie in der folgenden zusammengefassten Beispielausgabe gezeigt:
Diese Fehler weisen auf Bereinigungsereignisse hin oder darauf, dass Pods nicht geplant werden können
aufgrund der Knotenressourcen. Da Anthos Network Gateway-Pods keine
PriorityClass haben, haben sie dieselbe Standardpriorität wie andere Arbeitslasten.
Wenn Knoten ressourcenbeschränkt sind, werden die Netzwerk-Gateway-Pods möglicherweise entfernt. Dieses Verhalten ist besonders schlecht für das ang-node
DaemonSet, da diese Pods auf einem bestimmten Knoten geplant werden müssen und nicht migriert werden können.
Workaround:
Führen Sie ein Upgrade auf Version 1.15 oder höher aus.
Als kurzfristige Lösung können Sie manuell eine
PriorityClass
zu den Anthos Network Gateway-Komponenten zuweisen. Der Google Distributed Cloud-Controller überschreibt diese manuellen Änderungen während eines Abgleichs, z. B. während eines Clusterupgrades.
Weisen Sie die PriorityClass system-cluster-critical den
ang-controller-manager- und autoscaler-Cluster
Controller-Bereitstellungen zu.
Weisen Sie die PriorityClass system-node-critical dem
ang-daemon-Knoten-DaemonSet zu.
Upgrades, Updates
1.12, 1.13, 1.14, 1.15.0-1.15.2
Administratorclusterupgrade schlägt nach der Registrierung des Clusters bei gcloud fehl
Nachdem Sie gcloud verwendet haben, um einen Administratorcluster mit einem nicht leeren gkeConnect-Abschnitt zu registrieren, wird beim Versuch, ein Upgrade für den Cluster durchzuführen, möglicherweise der folgende Fehler angezeigt:
gkectl diagnose snapshot --log-since kann das Zeitfenster für journalctl-Befehle, die auf den Knoten des Clusters ausgeführt werden, nicht begrenzen
Dies hat keinen Einfluss auf die Funktionalität der Erstellung eines Snapshots des Clusters, da der Snapshot weiterhin alle Logs enthält, die standardmäßig durch die Ausführung von journalctl auf den Knoten des Clusters erfasst werden. Daher fehlen keine Debugging-Informationen.
Installation, Upgrades, Updates
1.9+, 1.10+, 1.11+, 1.12+
gkectl prepare windows
schlägt fehl.
gkectl prepare windows kann Docker nicht auf Google Distributed Cloud-Versionen vor 1.13 installieren, weil MicrosoftDockerProvider eingestellt wurde.
Workaround:
In der Regel lässt sich dieses Problem durch ein Upgrade auf Google Distributed Cloud 1.13 und die Verwendung des 1.13 gkectl zur Erstellung einer Windows VM-Vorlage und der anschließenden Erstellung von Windows-Knotenpools umgehen. Es gibt zwei Möglichkeiten, um von Ihrer aktuellen Version zu Google Distributed Cloud 1.13 zu gelangen (siehe unten).
Hinweis: Wir haben verschiedene Möglichkeiten, dieses Problem in Ihrer aktuellen Version zu umgehen, ohne ein Upgrade auf Version 1.13 ausführen zu müssen. Dafür sind jedoch mehr manuelle Schritte erforderlich. Bitte wenden Sie sich an unser Supportteam, wenn Sie diese Option in Betracht ziehen.
Option 1: Blau/Grün-Upgrade
Sie können einen neuen Cluster mit Google Distributed Cloud Version 1.13 oder höher und Windows-Knotenpools erstellen und die Arbeitslasten auf den neuen Cluster migrieren und dann den aktuellen Cluster bereinigen. Es wird empfohlen, die neueste Google Distributed Cloud-Nebenversion zu verwenden.
Hinweis: Dies erfordert zusätzliche Ressourcen für die Bereitstellung des neuen Clusters, aber dafür entstehen weniger Ausfallzeiten und Unterbrechungen für bestehende Arbeitslasten.
Option 2: Windows-Knotenpools löschen und wieder hinzufügen, wenn ein Upgrade auf Google Distributed Cloud 1.13 durchgeführt wird.
Hinweis: Bei dieser Option können die Windows-Arbeitslasten erst ausgeführt werden, wenn der Cluster auf Version 1.13 aktualisiert und die Windows-Knotenpools wieder hinzugefügt wurden.
Löschen Sie die vorhandenen Windows-Knotenpools, indem Sie die Konfiguration der Windows-Knotenpools aus der Datei user-cluster.yaml entfernen, und führen Sie dann den folgenden Befehl aus:
Führen Sie ein Upgrade der Linux-Administrator- und Nutzercluster auf 1.12 gemäß dem Upgrade-Nutzerhandbuch für die entsprechende Ziel-Nebenversion durch.
Vor dem Upgrade auf 1.13 sollten Sie darauf achten, dass enableWindowsDataplaneV2: true in der benutzerdefinierten Ressource OnPremUserCluster konfiguriert ist. Andernfalls verwendet der Cluster für Windows-Knotenpools weiterhin Docker, was nicht mit der neu erstellten Windows-VM-Vorlage von Version 1.13 kompatibel ist, auf der Docker nicht installiert ist. Wenn der Cluster nicht konfiguriert oder auf „false“ gesetzt ist, aktualisieren Sie ihn, indem Sie ihn in „user-cluster.yaml“ auf „true“ setzen. Führen Sie dann Folgendes aus:
Fügen Sie die Windows-Knotenpoolkonfiguration wieder in „user-cluster.yaml“ ein und legen Sie das Feld OSImage auf die neu erstellte Windows-VM-Vorlage fest.
Cluster aktualisieren, um Windows-Knotenpools hinzuzufügen
RootDistanceMaxSec-Konfiguration wird nicht wirksam für
ubuntu Knoten
Auf den Knoten wird der Standardwert von 5 Sekunden für RootDistanceMaxSec verwendet, anstatt 20 Sekunden, was der erwarteten Konfiguration entsprechen sollte. Wenn Sie das Log für den Start des Knotens per SSH in der VM prüfen, das sich unter „/var/log/startup.log“ befindet, können Sie den folgenden Fehler finden:
Die Verwendung eines 5-Sekunden-RootDistanceMaxSec kann dazu führen, dass die Systemuhr nicht mehr mit dem NTP-Server synchronisiert ist, wenn die Abweichung der Uhr größer als 5 Sekunden ist.
Workaround:
Wenden Sie das folgende DaemonSet auf Ihren Cluster an, um RootDistanceMaxSec zu konfigurieren:
apiVersion:apps/v1kind:DaemonSetmetadata:name:change-root-distancenamespace:kube-systemspec:selector:matchLabels:app:change-root-distancetemplate:metadata:labels:app:change-root-distancespec:hostIPC:truehostPID:truetolerations:# Make sure pods gets scheduled on all nodes.-effect:NoScheduleoperator:Exists-effect:NoExecuteoperator:Existscontainers:-name:change-root-distanceimage:ubuntucommand:["chroot","/host","bash","-c"]args:-|while true; doconf_file="/etc/systemd/timesyncd.conf.d/90-gke.conf"if [ -f $conf_file ] && $(grep -q "RootDistanceMaxSec=20" $conf_file); thenecho "timesyncd has the expected RootDistanceMaxSec, skip update"elseecho "updating timesyncd config to RootDistanceMaxSec=20"mkdir -p /etc/systemd/timesyncd.conf.dcat > $conf_file << EOF[Time]RootDistanceMaxSec=20EOFsystemctl restart systemd-timesyncdfisleep 600donevolumeMounts:-name:hostmountPath:/hostsecurityContext:privileged:truevolumes:-name:hosthostPath:path:/
Upgrades, Updates
1.12.0-1.12.6, 1.13.0-1.13.6, 1.14.0-1.14.2
gkectl update admin schlägt aufgrund eines leeren Feldes osImageType fehl
Wenn Sie die Version 1.13 gkectl verwenden, um einen Administratorcluster der Version 1.12 zu aktualisieren, wird möglicherweise der folgende Fehler angezeigt:
Wenn Sie das Log von gkectl prüfen, sehen Sie möglicherweise, dass zu den mehrfachen Änderungen das Setzen von osImageType von einem leeren String auf ubuntu_containerd gehört.
Diese Aktualisierungsfehler sind darauf zurückzuführen, dass das Feld osImageType in der Administratorcluster-Konfiguration seit seiner Einführung in Version 1.9 nicht mehr korrekt ausgefüllt wurde.
Workaround:
Führen Sie ein Upgrade auf eine Version von Google Distributed Cloud mit der Fehlerbehebung durch. Wenn ein Upgrade für Sie nicht möglich ist, wenden Sie sich an den Cloud Customer Care, um dieses Problem zu lösen.
Installation, Sicherheit
1.13, 1.14, 1.15, 1.16
SNI funktioniert nicht auf Nutzerclustern mit Steuerungsebene V2
Die Möglichkeit, ein zusätzliches Bereitstellungszertifikat für den Kubernetes API-Server eines Nutzerclusters mit authentication.sni bereitzustellen, funktioniert nicht, wenn die Steuerungsebene V2 aktiviert ist (enableControlplaneV2: true).
Workaround:
Bis ein Google Distributed Cloud-Patch mit der Fehlerbehebung verfügbar ist, sollten Sie, wenn Sie SNI verwenden müssen, die Steuerungsebene V2 deaktivieren (enableControlplaneV2: false).
$ im Nutzernamen der privaten Registry führt zu einem Startfehler der Maschine für die Administratorsteuerungsebene
Die Maschine der Administrator-Steuerungsebene kann nicht gestartet werden, wenn der Nutzername der privaten Registry $ enthält.
Wenn Sie das /var/log/startup.log auf der Maschine der Administrator-Steuerungsebene prüfen, wird der folgende Fehler angezeigt:
Vermeiden Sie eine weitere Rotation der KSA-Signaturschlüssel, bis für den Cluster ein Upgrade auf die Version mit der Korrektur durchgeführt wurde.
Vorgang
1.13.1+, 1.14, 1., 1.16
Virtuelle F5 BIG-IP-Server werden nicht bereinigt, wenn Nutzercluster von Terraform gelöscht werden
Wenn Sie Terraform zum Löschen eines Nutzerclusters mit einem F5 BIG-IP Load Balancer verwenden, werden die virtuellen F5 BIG-IP Server nach dem Löschen des Clusters nicht entfernt.
Kind-Cluster ruft die Container-Images von docker.io ab
Wenn Sie einen Administratorcluster der Version 1.13.8 oder Version 1.14.4 erstellen oder ein Upgrade des Administratorclusters auf Version 1.13.8 oder 1.14.4 durchführen, ruft der Kind-Clusters folgende Container-Images aus docker.io ab:
docker.io/kindest/kindnetd
docker.io/kindest/local-path-provisioner
docker.io/kindest/local-path-helper
Wenn Sie von Ihrer Administratorworkstation aus nicht auf docker.io zugreifen können, wird bei der Erstellung oder dem Upgrade des Administratorclusters der Kind-Cluster nicht gestartet.
Wenn Sie den folgenden Befehl auf der Administratorworkstation ausführen, werden die entsprechenden Container mit ausstehendem ErrImagePull angezeigt:
Diese Container-Images sollten vorab in das Container-Image des Kind-Cluster geladen werden. Allerdings hat Kind v0.18.0
ein Problem mit den vorinstallierten Container-Images, wodurch sie versehentlich aus dem Internet geladen werden.
Workaround:
Führen Sie die folgenden Befehle auf der Administratorworkstation aus, während bei Ihrem Administratorcluster die Erstellung oder das Upgrade aussteht:
Fehlgeschlagener Failover auf dem Nutzercluster und dem Administratorcluster der HA Steuerungsebene v2, wenn das Netzwerk doppelte GARP-Anfragen herausfiltert
Wenn Ihre Cluster-VMs mit einem Switch verbunden sind, der doppelte GARP-Anfragen (Gratuitous ARP) herausfiltert, kann bei der Keepalive-Leader-Auswahl eine Race-Bedingung auftreten, die dazu führt, dass einige Knoten falsche ARP-Tabelleneinträge enthalten.
Die betroffenen Knoten können die virtuelle IP-Adresse der Steuerungsebene ping, jedoch wird es bei einer TCP-Verbindung zur virtuellen IP-Adresse der Steuerungsebene eine Zeitüberschreitung geben.
Workaround:
Führen Sie für jeden Knoten der Steuerungsebene des betroffenen Clusters den folgenden Befehl aus:
vsphere-csi-controller muss nach der vCenter-Zertifikatrotation neu gestartet werden
vsphere-csi-controller sollte nach der vCenter-Zertifikatrotation sein vCenter-Secret aktualisieren. Das aktuelle System startet jedoch die Pods von vsphere-csi-controller nicht ordnungsgemäß neu, wodurch vsphere-csi-controller nach der Rotation abstürzt.
Workaround:
Folgen Sie für Cluster, die mit 1.13 und höher erstellt wurden, der Anleitung unten, um vsphere-csi-controller neu zu starten
Auch wenn die Clusterregistrierung während der Erstellung des Administratorclusters fehlschlägt, schlägt der Befehl gkectl create admin bei dem Fehler nicht fehl und wird möglicherweise erfolgreich sein. Mit anderen Worten, die Erstellung des Administratorclusters könnte „erfolgreich“ sein, ohne bei einer Flotte registriert zu sein.
Um das Symptom zu ermitteln, können Sie im Protokoll von „gkectl create admin“ nach den folgenden Fehlermeldungen suchen:
Failed to register admin cluster
Sie können auch prüfen, ob der Cluster in der Cloud Console unter Registrierte Cluster aufgeführt ist.
Workaround:
Folgen Sie bei Clustern, die mit Version 1.12 und höher erstellt wurden, nach der Clustererstellung der Anleitung zum erneuten Registrierungsversuch des Administratorclusters. Bei Clustern, die mit früheren Versionen erstellt wurden,
hängen Sie ein falsches Schlüssel/Wert-Paar wie „foo: bar“ an Ihre Connect-Register-SA-Schlüsseldatei an.
Führen Sie gkectl update admin aus, um den Administratorcluster noch einmal zu registrieren.
Upgrades, Updates
1.10, 1.11, 1.12, 1.13.0-1.13.1
Die erneute Registrierung des Administratorclusters wird beim Upgrade des Administratorclusters möglicherweise übersprungen
Wenn beim Upgrade des Administratorclusters eine Zeitüberschreitung beim Upgrade von Knoten der Nutzersteuerungsebene auftritt, wird der Administratorcluster nicht noch einmal mit der aktualisierten Version des Connect-Agents registriert.
hängen Sie ein falsches Schlüssel/Wert-Paar wie „foo: bar“ an Ihre Connect-Register-SA-Schlüsseldatei an.
Führen Sie gkectl update admin aus, um den Administratorcluster noch einmal zu registrieren.
Speicher
1.15, 1.16
Migrierte integrierte vSphere-Volumes, die das Windows-Dateisystem verwenden, können nicht mit dem vSphere-CSI-Treiber verwendet werden
Unter bestimmten Umständen können Laufwerke schreibgeschützt an Windows-Knoten angehängt werden. Dies führt dazu, dass das entsprechende Volume in einem Pod schreibgeschützt ist.
Dieses Problem tritt eher auf, wenn ein neuer Satz von Knoten eine alte Gruppe von Knoten ersetzt (z. B. Cluster-Upgrade oder Knotenpool-Aktualisierung). Zustandsorientierte Arbeitslasten, die zuvor gut funktioniert haben, können möglicherweise nicht in ihre Volumes auf dem neuen Knotensatz schreiben.
Workaround:
Rufen Sie die UID des Pods ab, der nicht in das zugehörige Volume schreiben kann:
Der Pod sollte für denselben Knoten geplant werden. Für den Fall, dass der Pod auf einem neuen Knoten geplant wird, müssen Sie die vorangegangenen Schritte auf dem neuen Knoten wiederholen.
Upgrades, Updates
1.12, 1.13.0-1.13.7, 1.14.0-1.14.4
vsphere-csi-secret wird nach dem gkectl update credentials vsphere --admin-cluster nicht mehr aktualisiert
Wenn Sie die vSphere-Anmeldedaten für einen Administratorcluster nach der Aktualisierung der Clusteranmeldedaten aktualisieren, verwendet vsphere-csi-secret im kube-system-Namespace im Administratorcluster möglicherweise weiterhin die alten Anmeldedaten.
Workaround:
Rufen Sie den Namen des Secrets vsphere-csi-secret ab:
Absturzschleife von audit-proxy beim Aktivieren von Cloud-Audit-Logs mit gkectl update cluster
audit-proxy kann aufgrund einer leeren --cluster-name in einer Absturzschleife landen.
Dieses Verhalten wird durch einen Fehler in der Aktualisierungslogik verursacht, bei dem der Clustername nicht an den Audit-Proxy-Pod / das Containermanifest weitergegeben wird.
Workaround:
Stellen Sie bei einem Nutzercluster der Steuerungsebene v2 mit enableControlplaneV2: true eine SSH-Verbindung zum Rechner der Nutzer-Steuerebene her und aktualisieren Sie /etc/kubernetes/manifests/audit-proxy.yaml mit --cluster_name=USER_CLUSTER_NAME.
Bearbeiten Sie bei einem v1-Nutzercluster der Steuerungsebene den Container audit-proxy in dem Statefulset kube-apiserver, um --cluster_name=USER_CLUSTER_NAME hinzuzufügen:
Zusätzliche erneute Bereitstellung der Steuerungsebene direkt nach gkectl upgrade cluster
Direkt nach gkectl upgrade cluster werden die Pods der Steuerungsebene möglicherweise noch einmal bereitgestellt.
Der Clusterstatus von gkectl list clusters ändert sich von RUNNING in RECONCILING.
Bei Anfragen an den Nutzercluster kann es zu einer Zeitüberschreitung kommen.
Das liegt daran, dass die Zertifikatsrotation der Steuerungsebene automatisch nach gkectl upgrade cluster passiert.
Dieses Problem tritt nur bei Nutzerclustern auf, die die Steuerungsebene v2 NICHT verwenden.
Workaround:
Warten Sie, bis sich der Clusterstatus in gkectl list clusters wieder in RUNNING ändert, oder
führen Sie ein Upgrade auf Versionen mit der Fehlerbehebung durch: 1.13.6+, 1.14.2+ oder 1.15+.
Upgrades, Updates
1.12.7
Der fehlerhafte Release 1.12.7-gke.19 wurde entfernt
Google Distributed Cloud 1.12.7-gke.19 ist eine schlechte Version, die Sie nicht verwenden sollten. Die Artefakte wurden aus dem Cloud Storage-Bucket entfernt.
Workaround:
Verwenden Sie stattdessen den Release 1.12.7-gke.20.
Upgrades, Updates
1.12.0+, 1.13.0-1.13.7, 1.14.0-1.14.3
gke-connect-agent
verwendet weiterhin das ältere Image, nachdem die Registrierungsanmeldedaten aktualisiert wurden
Wenn Sie die Registry-Anmeldedaten mit einer der folgenden Methoden aktualisieren:
gkectl update credentials componentaccess, wenn keine private Registry verwendet wird
gkectl update credentials privateregistry, wenn Sie eine private Registry verwenden
verwendet gke-connect-agent möglicherweise weiterhin das ältere Image oder die gke-connect-agent-Pods können aufgrund von ImagePullBackOff nicht abgerufen werden.
Dieses Problem wird in Google Distributed Cloud-Releases 1.13.8,
1.14.4 und nachfolgenden Releases behoben.
Workaround:
Option 1:gke-connect-agent manuell neu bereitstellen:
Stellen Sie gke-connect-agent mit dem ursprünglichen Schlüssel für die Registrierung von Dienstkonten wieder bereit (Sie müssen den Schlüssel nicht aktualisieren):
Für den Administratorcluster:
Fehler bei der manuellen Prüfung der Konfiguration des Load-Balancers
Wenn Sie die Konfiguration validieren, bevor Sie einen Cluster mit manuellem Load-Balancer erstellen, indem Sie gkectl check-config ausführen, schlägt der Befehl mit den folgenden Fehlermeldungen fehl.
Bei Clustern, auf denen etcd Version 3.4.13 oder früher ausgeführt wird, kann es zu einem Monitoringmangel und nicht operativer Ressourcenüberwachung kommen, was zu den folgenden Problemen führen kann:
Pod-Planung wird unterbrochen
Knoten können nicht registriert werden
Kubelet beobachtet keine Pod-Änderungen
Diese Probleme können dazu führen, dass der Cluster nicht mehr funktioniert.
Dieses Problem wurde in den Google Distributed Cloud-Versionen 1.12.7, 1.13.6,
1.14.3 und nachfolgenden Releases behoben. Diese neueren Releases verwenden die etcd-Version 3.4.21. Alle früheren Versionen von Google Distributed Cloud sind von
diesem Problem betroffen.
Problemumgehung
Wenn Sie kein sofortiges Upgrade durchführen können, verringern Sie
einen Clusterfehler durch
Reduzieren der Knotenanzahl im Cluster. Entfernen Sie Knoten bis der etcd_network_client_grpc_sent_bytes_total-Messwert unter 300 Mbit/s liegt.
So rufen Sie diesen Messwert im Metrics Explorer auf:
Rufen Sie in der Google Cloud Console den Metrics Explorer auf:
Maximieren Sie Messwert auswählen und geben Sie Kubernetes Container in der Filterleiste ein und wählen Sie dann in den Untermenüs den Messwert aus:
Wählen Sie im Menü Aktive Ressourcen den Eintrag Kubernetes-Container aus.
Wählen Sie im Menü Aktive Messwertkategorien die Option Anthos aus.
Wählen Sie im Menü Aktive Messwerte die Option etcd_network_client_grpc_sent_bytes_total aus.
Klicken Sie auf Anwenden.
Upgrades, Updates
1.10, 1.11, 1.12, 1.13 und 1.14
GKE Identity Service kann zu Latenzen der Steuerungsebene führen
Bei Neustarts oder Upgrades von Clustern kann der GKE Identity Service mit Traffic überlastet werden, der aus abgelaufenen JWT-Tokens besteht, die von kube-apiserver an den GKE Identity Service über den Authentifizierungs-Webhook weitergeleitet werden. Obwohl der GKE Identity Service nicht in einer Absturzschleife endet, reagiert der Dienst nicht mehr und stellt die Bearbeitung weiterer Anfragen ein.
Dieses Problem führt letztendlich zu höheren Latenzen der Steuerungsebene.
Dieses Problem wurde in den folgenden Google Distributed Cloud-Releases behoben:
1.12.6+
1.13.6+
1.14.2+
So ermitteln Sie, ob Sie von diesem Problem betroffen sind:
Prüfen Sie, ob der GKE Identity Service-Endpunkt extern erreichbar ist:
Ersetzen Sie CLUSTER_ENDPOINT mit der virtuellen IP-Adresse der Steuerungsebene und dem Load-Balancer-Port der Steuerungsebene für Ihren Cluster (z. B. 172.16.20.50:443).
Wenn Sie von diesem Problem betroffen sind, gibt der Befehl einen 400-Statuscode zurück. Wenn das Zeitlimit für die Anfrage überschritten wird, starten Sie den Pod ais neu und führen Sie den Befehl curl noch einmal aus, um zu sehen, ob das Problem dadurch behoben wurde. Wenn Sie den Statuscode 000 erhalten, wurde das Problem behoben. Wird weiterhin der Statuscode 400 angezeigt, wird der HTTP-Server des GKE Identity Service nicht gestartet. Fahren Sie in diesem Fall fort.
Prüfen Sie die Logs von GKE Identity Service und kube-apiserver:
Wenn die kube-apiserver-Logs Einträge wie den folgenden enthalten,
dann sind Sie von diesem Problem betroffen:
E081122:30:22.6560851webhook.go:127]Failedtomakewebhookauthenticatorrequest:errortryingtoreachservice:net/http:TLShandshaketimeout
E081122:30:22.6562661authentication.go:63]"Unable to authenticate the request"err="[invalid bearer token, error trying to reach service: net/http: TLS handshake timeout]"
Problemumgehung
Wenn Sie Ihre Cluster nicht sofort aktualisieren können, um das Problem zu beheben, können Sie die betroffenen Pods ermitteln und neu starten, um es zu umgehen:
Erhöhen Sie den Ausführlichkeitsgrad des GKE Identity Service auf 9:
Um das Token zu decodieren und den Namen und den Namespace des Quell-Pods aufzurufen, kopieren Sie das Token in den Debugger unter jwt.io.
Starten Sie die in den Tokens identifizierten Pods neu.
Vorgang
1.9, 1.10, 1.11, 1.12, 1.13
Systemdiagnosen von Pods der Steuerungsebene des Nutzerclusters fehlen
Sowohl der Cluster-Systemdiagnose-Controller als auch der gkectl diagnose cluster-Befehl führen eine Reihe von Systemdiagnosen aus, einschließlich der Systemdiagnosen der Pods in den Namespaces. Allerdings beginnen sie damit, die Pods der Nutzersteuerungsebene versehentlich zu überspringen. Wenn Sie den v2-Modus der Steuerungsebene verwenden, hat dies keine Auswirkungen auf den Cluster.
Workaround:
Dies hat keine Auswirkungen auf die Arbeitslast- oder Clusterverwaltung. Wenn Sie die Integrität der Pods der Steuerungsebene prüfen möchten, können Sie die folgenden Befehle ausführen:
Dies liegt daran, dass die seesaw-gruppendatei bereits vorhanden ist. Die Preflight-Prüfung
versucht, einen nicht vorhandenen Seesaw-Load-Balancer zu validieren.
Workaround:
Entfernen Sie die vorhandene Seesaw-Gruppendatei für diesen Cluster. Der Dateiname
ist seesaw-for-gke-admin.yaml für den Administratorcluster und
seesaw-for-{CLUSTER_NAME}.yaml für einen Nutzercluster.
Netzwerk
1.14
Anwendungszeitüberschreitungen, die durch Fehler beim Einfügen von Conntrack-Tabellen verursacht werden
Google Distributed Cloud Version 1.14 ist anfällig für Fehler beim Einfügen der Tabelle für das Verbindungs-Tracking (conntrack) von Netfilter, wenn Sie Images der Betriebssysteme Ubuntu oder COS verwenden. Einfügungsfehler führen zu Zeitüberschreitungen für Anwendungen und können auch dann auftreten, wenn in der Conntrack-Tabelle Platz für neue Einträge ist. Die Fehler werden durch Änderungen am Kernel 5.15 und höher verursacht, die das Einfügen von Tabellen basierend auf der Kettelänge einschränken.
Ob Sie von diesem Problem betroffen sind, können Sie mit folgendem Befehl in den Systemstatistiken des Kernel-Verbindungstrackings auf jedem Knoten überprüfen:
Wenn ein chaintoolong-Wert in der Antwort eine Zahl ungleich null ist, sind Sie von diesem Problem betroffen.
Problemumgehung
Zur vorläufigen Abhilfe können Sie die Größe der netfiler-Hash-Tabelle (nf_conntrack_buckets) und der Netfilter-Verbindungs-Tracking-Tabelle (nf_conntrack_max) erhöhen. Verwenden Sie die folgenden Befehle auf jedem Clusterknoten, um die Größe der Tabellen zu erhöhen:
Ersetzen Sie TABLE_SIZE durch die neue Größe in Byte. Der Standardwert für die Tabellengröße ist 262144. Wir empfehlen einen Wert, der dem 65.536-fachen der Anzahl der Kerne auf dem Knoten entspricht. Beispiel:
Wenn Ihr Knoten acht Kerne hat, legen Sie die Tabellengröße auf 524288 fest.
Netzwerk
1.13.0-1.13.2
calico-typha oder anetd-operator-Absturzschleife auf Windows-Knoten mit Steuerungsebene v2
Mit Steuerungsebene v2 oder einem neuen Installationsmodell werden calico-typha oder anetd-operator möglicherweise für Windows-Knoten geplant und sie geraten in eine Absturzschleife.
Der Grund ist, dass die beiden Bereitstellungen alle Markierungen tolerieren, auch die Windows-Knotenmarkierung.
Workaround:
Führen Sie entweder ein Upgrade auf 1.13.3 oder höher durch oder führen Sie die folgenden Befehle aus, um das Deployment „calico-typha“ oder „anetd-operator“ zu bearbeiten:
# If dataplane v2 is not used.kubectleditdeployment-nkube-systemcalico-typha--kubeconfigUSER_CLUSTER_KUBECONFIG# If dataplane v2 is used.kubectleditdeployment-nkube-systemanetd-operator--kubeconfigUSER_CLUSTER_KUBECONFIG
Entfernen Sie folgende spec.template.spec.tolerations:
Die Datei mit den Anmeldedaten für die private Registry des Nutzerclusters kann nicht geladen werden.
Möglicherweise können Sie keinen Nutzercluster erstellen, wenn Sie den Abschnitt privateRegistry mit den Anmeldedaten fileRef angeben.
Die Preflight-Prüfung kann mit der folgenden Meldung fehlschlagen:
[FAILURE] Docker registry access: Failed to login.
Workaround:
Wenn Sie das Feld nicht angeben wollten oder dieselben Anmeldedaten für die private Registry wie der Administratorcluster verwenden möchten, können Sie den Abschnitt privateRegistry in der Konfigurationsdatei des Nutzerclusters einfach entfernen oder kommentieren.
Wenn Sie für Ihren Nutzercluster bestimmte Anmeldedaten für die private Registry verwenden möchten, können Sie den Abschnitt privateRegistry vorübergehend so angeben:
(HINWEIS: Dies ist nur eine vorübergehende Lösung. Diese Felder sind bereits eingestellt. Verwenden Sie beim Upgrade auf 1.14.3 oder höher die Anmeldedatendatei.)
Speicher
1.12+, 1.13.3
kube-controller-manager trennt möglicherweise nichtflüchtige Volumes
nach 6 Minuten erzwungenermaßen
kube-controller-manager kann beim Trennen von PV/PVCs nach 6 Minuten eine Zeitüberschreitung verursachen und die PV/PVCs erzwungenermaßen trennen. Detaillierte Logs von kube-controller-manager zeigen ähnliche Ereignisse an wie die folgenden:
$ cat kubectl_logs_kube-controller-manager-xxxx | grep "DetachVolume started" | grep expired
kubectl_logs_kube-controller-manager-gke-admin-master-4mgvr_--container_kube-controller-manager_--kubeconfig_kubeconfig_--request-timeout_30s_--namespace_kube-system_--timestamps:2023-01-05T16:29:25.883577880Z W0105 16:29:25.883446 1 reconciler.go:224] attacherDetacher.DetachVolume started for volume "pvc-8bb4780b-ba8e-45f4-a95b-19397a66ce16" (UniqueName: "kubernetes.io/csi/csi.vsphere.vmware.com^126f913b-4029-4055-91f7-beee75d5d34a") on node "sandbox-corp-ant-antho-0223092-03-u-tm04-ml5m8-7d66645cf-t5q8f"
This volume is not safe to detach, but maxWaitForUnmountDuration 6m0s expired, force detaching
Melden Sie sich beim Knoten an und führen Sie die folgenden Befehle aus, um das Problem zu prüfen:
# See all the mounting points with disks
lsblk-f
# See some ext4 errors
sudodmesg-T
Im kubelet-Log werden Fehler wie die folgenden angezeigt:
Error: GetDeviceMountRefs check failed for volume "pvc-8bb4780b-ba8e-45f4-a95b-19397a66ce16" (UniqueName: "kubernetes.io/csi/csi.vsphere.vmware.com^126f913b-4029-4055-91f7-beee75d5d34a") on node "sandbox-corp-ant-antho-0223092-03-u-tm04-ml5m8-7d66645cf-t5q8f" :
the device mount path "/var/lib/kubelet/plugins/kubernetes.io/csi/pv/pvc-8bb4780b-ba8e-45f4-a95b-19397a66ce16/globalmount" is still mounted by other references [/var/lib/kubelet/plugins/kubernetes.io/csi/pv/pvc-8bb4780b-ba8e-45f4-a95b-19397a66ce16/globalmount
Workaround:
Stellen Sie über SSH eine Verbindung zum betroffenen Knoten her und starten Sie den Knoten neu.
Upgrades, Updates
1.12+, 1.13+, 1.14+
Clusterupgrade hängt, wenn CSI-Treiber eines Drittanbieters verwendet werden
Wenn Sie den CSI-Treiber eines Drittanbieters verwenden, können Sie einen Cluster möglicherweise nicht aktualisieren. Der Befehl gkectl cluster diagnose gibt möglicherweise den folgenden Fehler zurück:
"virtual disk "kubernetes.io/csi/csi.netapp.io^pvc-27a1625f-29e3-4e4f-9cd1-a45237cc472c" IS NOT attached to machine "cluster-pool-855f694cc-cjk5c" but IS listed in the Node.Status"
Workaround:
Führen Sie das Upgrade mit dem --skip-validation-all aus.
Vorgang
1.10+, 1.11+, 1.12+, 1.13+, 1.14+
gkectl repair admin-master erstellt die Administrator-Master-VM, ohne die VM-Hardwareversion zu aktualisieren.
Der über gkectl repair admin-master erstellte Administrator-Master-Knoten
verwendet möglicherweise eine niedrigere VM-Hardwareversion als erwartet. Wenn das Problem auftritt,
sehen Sie den Fehler vom gkectl diagnose cluster-Bericht.
CSIPrerequisites [VM Hardware]: The current VM hardware versions are lower than vmx-15 which is unexpected. Please contact Anthos support to resolve this issue.
Workaround:
Fahren Sie den Administrator-Masterknoten herunter, folgen Sie https://kb.vmware.com/s/article/1003746, um den Knoten auf die in der Fehlermeldung beschriebene erwartete Version zu aktualisieren, und starten Sie dann den Knoten.
Betriebssystem
1.10+, 1.11+, 1.12+, 1.13+, 1.14+, 1.15+, 1.16+
Die VM gibt die DHCP-Freigabe beim Herunterfahren/Neustarten unerwartet aus, was zu Änderungen der IP-Adresse führen kann.
In systemd v244 hat systemd-networkd eine Standardverhaltensänderung in der KeepConfiguration-Konfiguration. Vor dieser Änderung haben VMs beim Herunterfahren oder Neustart keine DHCP-Lease-Release-Nachricht an den DHCP-Server gesendet. Nach dieser Änderung senden VMs eine solche Nachricht und geben die IP-Adressen an den DHCP-Server zurück. Daher kann die freigegebene IP-Adresse einer anderen VM zugewiesen werden und/oder der VM eine andere IP-Adresse zugewiesen werden, was zu einem IP-Konflikt (auf Kubernetes-Ebene, nicht auf vSphere-Ebene) und/oder einer IP-Änderung auf den VMs führt, wodurch die Cluster auf verschiedene Weise beeinträchtigt werden können.
Zum Beispiel können die folgenden Symptome auftreten.
Die vCenter-UI zeigt an, dass keine VMs dieselbe IP verwenden, aber kubectl get
nodes -o wide gibt Knoten mit doppelten IP-Adressen zurück.
NAME STATUS AGE VERSION INTERNAL-IP EXTERNAL-IP OS-IMAGE KERNEL-VERSION CONTAINER-RUNTIME
node1 Ready 28h v1.22.8-gke.204 10.180.85.130 10.180.85.130 Ubuntu 20.04.4 LTS 5.4.0-1049-gkeop containerd://1.5.13
node2 NotReady 71d v1.22.8-gke.204 10.180.85.130 10.180.85.130 Ubuntu 20.04.4 LTS 5.4.0-1049-gkeop containerd://1.5.13
Neue Knoten können aufgrund eines calico-node-Fehlers nicht gestartet werden
2023-01-19T22:07:08.817410035Z 2023-01-19 22:07:08.817 [WARNING][9] startup/startup.go 1135: Calico node 'node1' is already using the IPv4 address 10.180.85.130.
2023-01-19T22:07:08.817514332Z 2023-01-19 22:07:08.817 [INFO][9] startup/startup.go 354: Clearing out-of-date IPv4 address from this node IP="10.180.85.130/24"
2023-01-19T22:07:08.825614667Z 2023-01-19 22:07:08.825 [WARNING][9] startup/startup.go 1347: Terminating
2023-01-19T22:07:08.828218856Z Calico node failed to start
Workaround:
Stellen Sie das folgende DaemonSet auf dem Cluster bereit, um die Änderung des systemd-networkd-Standardverhaltens rückgängig zu machen. Die VMs, auf denen dieses DaemonSet ausgeführt wird, geben die IP-Adressen beim Herunterfahren/Neustarten nicht für den DHCP-Server frei. Die IP-Adressen werden nach Ablauf der Freigaben automatisch vom DHCP-Server freigegeben.
Dienstkontoschlüssel für den Komponentenzugriff wurde nach einem Upgrade des Administratorclusters von 1.11.x gelöscht
Dieses Problem betrifft nur Administratorcluster, die von 1.11.x aktualisiert wurden, und hat keine Auswirkungen auf Administratorcluster, die nach 1.12 neu erstellt wurden.
Nach dem Upgrade eines Clusters von 1.11.x auf 1.12.x wird das
Feld component-access-sa-key im Secret admin-cluster-creds geleert und gelöscht.
Mit dem folgenden Befehl können Sie dies prüfen:
Wenn die Ausgabe leer ist, wurde der Schlüssel gelöscht.
Nachdem der Schlüssel für das Dienstkonto für den Komponentenzugriff gelöscht wurde, schlägt die Installation neuer Nutzercluster oder die Aktualisierung bestehender Nutzercluster fehl. Im Folgenden finden Sie einige Fehlermeldungen, die auftreten können:
Langsamer Validierungs-Preflight-Fehler mit Fehlermeldung: "Failed
to create the test VMs: failed to get service account key: service
account is not configured."
Fehler bei der Vorbereitung durch gkectl prepare und Fehlermeldung:
"Failed to prepare OS images: dialing: unexpected end of JSON
input"
Wenn Sie einen Nutzercluster der Version 1.13 mit der Google Cloud Console oder der gcloud CLI aktualisieren, schlägt der Befehl mit der Meldung fehl, wenn Sie gkectl update admin --enable-preview-user-cluster-central-upgrade ausführen, um den Upgrade-Platform-Controller bereitzustellen: "failed to download bundle to disk: dialing:
unexpected end of JSON input" (Diese Meldung erscheint im Feld status in der Ausgabe von kubectl --kubeconfig ADMIN_KUBECONFIG -n kube-system get onprembundle -oyaml).
Workaround:
Fügen Sie den Schlüssel des Dienstkontos für den Komponentenzugriff wieder manuell in das Secret ein, indem Sie den folgenden Befehl ausführen:
Deaktivieren Sie das Autoscaling in allen Knotenpools mit „gkectl update cluster“, bis Sie ein Upgrade auf eine Version mit der Fehlerbehebung durchführen.
Installation
1.12.0-1.12.4, 1.13.0-1.13.3, 1.14.0
CIDR ist in der IP-Blockdatei nicht zulässig
Wenn Nutzer in der IP-Blockdatei CIDR verwenden, schlägt die Konfigurationsvalidierung mit dem folgenden Fehler fehl:
Nehmen Sie einzelne IP-Adressen in die IP-Blockdatei auf, bis ein Upgrade auf eine Version mit dieser Korrektur durchgeführt wird: 1.12.5, 1.13.4, 1.14.1+.
Upgrades, Updates
1.14.0-1.14.1
Das Update des Betriebssystem-Image-Typs in der Datei admin-cluster.yaml wartet nicht darauf, dass Maschinen der Nutzersteuerungsebene neu erstellt werden
Wenn in der Datei „admin-cluster.yaml“ der Betriebssystem-Image-Typ der Steuerungsebene aktualisiert wird und der entsprechende Nutzercluster über Steuerungsebene V2 erstellt wurde, wird die Neuerstellung der Maschinen der Nutzersteuerungsebene möglicherweise nicht abgeschlossen, wenn der Befehl „gkectl“ abgeschlossen ist.
Workaround:
Warten Sie nach Abschluss des Updates, bis die Maschinen der Nutzersteuerungsebene auch die Neuerstellung abschließen, indem Sie die Knoten-Betriebssystem-Image-Typen mit kubectl --kubeconfig USER_KUBECONFIG get nodes -owide überwachen. Wenn Sie z.B. von Ubuntu auf COS aktualisieren, sollten wir warten, bis alle Maschinen der Steuerungsebene nach Abschluss des Aktualisierungsbefehls vollständig von Ubuntu zu COS gewechselt sind.
Vorgang
1.10, 1.11, 1.12, 1.13, 1.14.0
Fehler beim Erstellen oder Löschen von Pods aufgrund eines Problems mit dem Authentifizierungstoken des Calico CNI-Dienstkontos
Ein Problem mit Calico in Google Distributed Cloud 1.14.0
führt dazu, dass das Erstellen und Löschen von Pods mit der folgenden Fehlermeldung in der Ausgabe von kubectl describe pods fehlschlägt:
error getting ClusterInformation: connection is unauthorized: Unauthorized
Dieses Problem tritt erst 24 Stunden nach der Ausführung des Clusters auf, der mit Calico erstellt oder auf 1.14 aktualisiert wurde.
Administratorcluster verwenden immer Calico. Für den Nutzercluster gibt es dagegen ein Konfigurationsfeld „enableDataPlaneV2“ in der Datei „user-cluster.yaml“, wenn dieses Feld auf „false“ gesetzt oder nicht angegeben ist, d. h. Sie nutzen Calico im Nutzercluster.
Die Knoten des install-cni-Containers erstellt eine kubeconfig-Datei mit einem Token, das 24 Stunden lang gültig ist. Dieses Token muss regelmäßig
durch den Pod calico-node verlängert werden. calico-node
Der Pod kann das Token nicht verlängern, da er keinen Zugriff auf das Verzeichnis hat, das die kubeconfig-Datei auf dem Knoten enthält.
Workaround:
Dieses Problem wurde in Google Distributed Cloud Version 1.14.1 behoben. Upgrade auf diese oder eine neuere Version.
Wenn Sie das Upgrade nicht sofort durchführen können, wenden Sie den folgenden Patch auf dem
calico-node DaemonSet in Ihrem Administrator- und Nutzercluster an:
ADMIN_CLUSTER_KUBECONFIG: der Pfad der kubeconfig-Datei des Administratorclusters.
USER_CLUSTER_CONFIG_FILE: Pfad Ihrer Nutzercluster-Konfigurationsdatei.
Installation
1.12.0-1.12.4, 1.13.0-1.13.3, 1.14.0
IP-Block-Validierung schlägt bei Verwendung von CIDR fehl
Der Cluster kann nicht erstellt werden, obwohl der Nutzer die richtige Konfiguration hat. Der Nutzer stellt fest, dass die Erstellung fehlschlägt, weil der Cluster nicht genügend IP-Adressen hat.
Workaround:
Teilen Sie CIDRs in mehrere kleinere CIDR-Blöcke auf. 10.0.0.0/30 wird beispielsweise zu 10.0.0.0/31, 10.0.0.2/31. Solange es N+1 CIDRs gibt, wobei N die Anzahl der Knoten im Cluster ist, sollte dies ausreichen.
Upgrades, Updates
1.11, 1.12
Selbst bereitgestellte GMP-Komponenten werden nach dem Upgrade auf Version 1.12 nicht beibehalten
Wenn Sie eine Google Distributed Cloud-Version unter 1.12 verwenden und Komponenten von Google-verwaltetem Prometheus (GMP) manuell im gmp-system-Namespace für Ihren Cluster eingerichtet haben, werden die Komponenten nicht beibehalten, wenn Sie auf Version 1.12.x aktualisieren.
Ab Version 1.12 werden GMP-Komponenten im Namespace gmp-system und CRDs durch das Objekt stackdriver verwaltet, wobei das enableGMPForApplications-Flag standardmäßig auf false gesetzt ist. Wenn Sie vor dem Upgrade auf 1.12 GMP-Komponenten im Namespace manuell bereitstellen, werden die Ressourcen von stackdriver gelöscht.
Workaround:
Sichern Sie alle vorhandenen benutzerdefinierten PodMonitoring-Ressourcen (CRs).
Fehlende ClusterAPI-Objekte im Cluster-Snapshot-Szenario system
Im Szenario system enthält der Cluster-Snapshot keine Ressourcen im Namespace default.
Einige Kubernetes-Ressourcen wie Cluster API-Objekte, die sich unter diesem Namespace befinden, enthalten jedoch nützliche Informationen zur Fehlerbehebung. Der Cluster-Snapshot sollte sie enthalten.
Workaround:
Sie können die folgenden Befehle manuell ausführen, um die Informationen zur Fehlerbehebung zu erfassen.
kubevols ist das Standardverzeichnis für den integrierten vSphere-Treiber. Wenn keine PVC/PV-Objekte erstellt werden, tritt möglicherweise der Fehler auf, dass der Knotenausgleich beim Ermitteln von kubevols hängen bleibt, da die aktuelle Implementierung davon ausgeht, dass kubevols immer vorhanden ist.
Workaround:
Erstellen Sie das Verzeichnis kubevols im Datenspeicher, in dem der Knoten erstellt wird. Dies wird im Feld vCenter.datastore in den Dateien user-cluster.yaml oder admin-cluster.yaml definiert.
Konfiguration
1.7, 1.8, 1.9, 1.10, 1.11, 1.12, 1.13, 1.14
Cluster Autoscaler „clusterrolebinding“ und „clusterrole“ werden nach dem Löschen eines Nutzerclusters gelöscht.
Beim Löschen eines Nutzerclusters werden die entsprechenden clusterrole und clusterrolebinding für Cluster-Autoscaling ebenfalls gelöscht. Dies wirkt sich auf alle anderen Nutzercluster im selben Administratorcluster mit aktiviertem Cluster-Autoscaling aus. Dies liegt daran, dass dieselbe clusterrole und clusterrolebinding für alle Cluster-Autoscaling-Pods innerhalb desselben Administratorclusters verwendet werden.
Wenden Sie die folgende clusterrole und clusterrolebinding auf den Administratorcluster an, falls diese fehlen. Fügen Sie der Clusterrolebinding für jeden Nutzercluster die Dienstkontoinhaber hinzu.
apiVersion:rbac.authorization.k8s.io/v1kind:ClusterRolemetadata:name:cluster-autoscalerrules:-apiGroups:["cluster.k8s.io"]resources:["clusters"]verbs:["get","list","watch"]-apiGroups:["cluster.k8s.io"]resources:["machinesets","machinedeployments","machinedeployments/scale","machines"]verbs:["get","list","watch","update","patch"]-apiGroups:["onprem.cluster.gke.io"]resources:["onpremuserclusters"]verbs:["get","list","watch"]-apiGroups:-coordination.k8s.ioresources:-leasesresourceNames:["cluster-autoscaler"]verbs:-get-list-watch-create-update-patch-apiGroups:-""resources:-nodesverbs:["get","list","watch","update","patch"]-apiGroups:-""resources:-podsverbs:["get","list","watch"]-apiGroups:-""resources:-pods/evictionverbs:["create"]# read-only access to cluster state-apiGroups:[""]resources:["services","replicationcontrollers","persistentvolumes","persistentvolumeclaims"]verbs:["get","list","watch"]-apiGroups:["apps"]resources:["daemonsets","replicasets"]verbs:["get","list","watch"]-apiGroups:["apps"]resources:["statefulsets"]verbs:["get","list","watch"]-apiGroups:["batch"]resources:["jobs"]verbs:["get","list","watch"]-apiGroups:["policy"]resources:["poddisruptionbudgets"]verbs:["get","list","watch"]-apiGroups:["storage.k8s.io"]resources:["storageclasses","csinodes"]verbs:["get","list","watch"]# misc access-apiGroups:[""]resources:["events"]verbs:["create","update","patch"]-apiGroups:[""]resources:["configmaps"]verbs:["create"]-apiGroups:[""]resources:["configmaps"]resourceNames:["cluster-autoscaler-status"]verbs:["get","update","patch","delete"]
Administratorcluster cluster-health-controller und vsphere-metrics-exporter funktionieren nach dem Löschen des Nutzerclusters nicht
Beim Löschen eines Nutzerclusters wird auch das entsprechende clusterrole gelöscht. Das führt dazu, dass die automatische Reparatur und der Export von vSphere-Messwerten nicht funktioniert.
gkectl check-config schlägt bei der Betriebssystem-Image-Validierung fehl
Ein bekanntes Problem, bei dem die gkectl check-config fehlschlagen kann, ohne gkectl prepare auszuführen. Das ist verwirrend, da wir empfehlen, den Befehl vor der Ausführung von gkectl prepare auszuführen.
Das Symptom ist, dass der Befehl gkectl check-config mit der folgenden Fehlermeldung fehlschlägt:
Damit das Update wirksam wird, müssen die Maschinen nach dem fehlgeschlagenen Update neu erstellt after werden.
Zum Aktualisieren des Administratorclusters müssen Nutzermaster- und Administrator-Add-on-Knoten neu erstellt werden
Für die Aktualisierung des Nutzerclusters müssen die Nutzer-Worker-Knoten neu erstellt werden.
So erstellen Sie Nutzer-Worker-Knoten neu
Option 1 Führen Sie die Schritte zum Aktualisieren eines Knotenpools aus und ändern Sie die CPU oder den Arbeitsspeicher, um eine rollierende Neuerstellung der Knoten auszulösen.
Option 2 Verwenden Sie „kubectl delete“, um die Maschinen einzeln neu zu erstellen
Option 1 Folgen Sie der Anleitung zum Anpassen der Größe der Steuerungsebene und ändern Sie die CPU oder den Arbeitsspeicher, um eine rollierende Neuerstellung der Knoten auszulösen.
Option 2 Verwenden Sie „kubectl delete“, um die Maschinen einzeln neu zu erstellen
Knoten werden nicht registriert, wenn der konfigurierte Hostname einen Punkt enthält
Die Knotenregistrierung schlägt bei der Cluster-Erstellung, dem Upgrade, der Aktualisierung und der automatischen Knotenreparatur fehl, wenn ipMode.type gleich static ist und der konfigurierte Hostname in der IP-Blockdatei einen oder mehrere Punkte enthält. In diesem Fall werden die Certificate Signing Requests (CSR) für einen Knoten nicht automatisch genehmigt.
Führen Sie den folgenden Befehl aus, um die ausstehenden CSRs für einen Knoten anzuzeigen:
kubectlgetcsr-A-owide
Prüfen Sie die folgenden Logs auf Fehlermeldungen:
Sehen Sie sich die Logs im Administratorcluster für den clusterapi-controller-manager-Container im clusterapi-controllers-Pod an:
ADMIN_CLUSTER_KUBECONFIG ist die kubeconfig-Datei des Administratorclusters.
USER_CLUSTER_NAME ist der Name des Nutzerclusters.
Ein Beispiel für mögliche Fehlermeldungen: "msg"="failed
to validate token id" "error"="failed to find machine for node
node-worker-vm-1" "validate"="csr-5jpx9"
Rufen Sie die kubelet-Logs auf dem problematischen Knoten auf:
journalctl--ukubelet
Ein Beispiel für mögliche Fehlermeldungen: "Error getting
node" err="node \"node-worker-vm-1\" not found"
Wenn Sie einen Domain-Namen im Feld Hostname einer IP-Adresse angeben, werden alle Zeichen nach dem ersten Punkt ignoriert. Wenn Sie beispielsweise als Hostname bob-vm-1.bank.plc angeben, werden der VM-Hostname und der Name des Knotens auf bob-vm-1 gesetzt.
Wenn die Knoten-ID-Überprüfung aktiviert ist, vergleicht der CSR-Genehmiger den
Knotenname mit dem Hostnamen in der Maschinenspezifikation. Der Abgleich mit dem Namen schlägt fehl. Der Genehmiger lehnt den CSR ab, und für den Knoten wird kein Bootstrap durchgeführt.
Workaround:
Nutzercluster
So deaktivieren Sie die Knoten-ID-Überprüfung:
Fügen Sie der Konfigurationsdatei des Nutzerclusters die folgenden Felder hinzu:
NetworkGatewayNodes marked unhealthy from concurrent
status update conflict
In networkgatewaygroups.status.nodes, some nodes switch
between NotHealthy and Up.
Logs for the ang-daemon Pod running on that node reveal
repeated errors:
2022-09-16T21:50:59.696Z ERROR ANGd Failed to report status {"angNode": "kube-system/my-node", "error": "updating Node CR status: sending Node CR update: Operation cannot be fulfilled on networkgatewaynodes.networking.gke.io \"my-node\": the object has been modified; please apply your changes to the latest version and try again"}
Der Status NotHealthy verhindert, dass der Controller dem Knoten zusätzliche Floating-IP-Adressen zuweist. Dies kann zu einer höheren Belastung anderer Knoten oder zu einer fehlenden Redundanz für Hochverfügbarkeit führen.
Die Dataplane-Aktivität ist ansonsten nicht betroffen.
Ein Konflikt auf dem networkgatewaygroup-Objekt führt dazu, dass einige Statusaktualisierungen aufgrund eines Fehlers bei der Bearbeitung von Wiederholungsversuchen fehlschlagen. Wenn zu viele Statusaktualisierungen fehlschlagen, sieht ang-controller-manager den Knoten als über sein Heartbeat-Zeitlimit hinaus und markiert den Knoten als NotHealthy.
Der Fehler bei der Wiederholungsbehandlung wurde in späteren Versionen behoben.
Workaround:
Führen Sie gegebenenfalls ein Upgrade auf eine korrigierte Version durch.
Upgrades, Updates
1.12.0-1.12.2, 1.13.0
Die Race-Bedingung blockiert das Löschen von Maschinenobjekten während einer Aktualisierung oder eines Upgrades
Ein bekanntes Problem, das dazu führen kann, dass das Clusterupgrade oder -update
beim Warten auf das Löschen des alten Maschinenobjekts hängen bleibt. Das liegt daran, dass
der Finalizer nicht aus dem Maschinenobjekt entfernt werden kann. Dies wirkt sich auf alle Rolling Update-Vorgänge für Knotenpools aus.
Das Symptom besteht darin, dass der Befehl gkectl eine Zeitüberschreitung mit folgender Fehlermeldung erfährt:
E0821 18:28:02.546121 61942 console.go:87] Exit with error:
E0821 18:28:02.546184 61942 console.go:87] error: timed out waiting for the condition, message: Node pool "pool-1" is not ready: ready condition is not true: CreateOrUpdateNodePool: 1/3 replicas are updated
Check the status of OnPremUserCluster 'cluster-1-gke-onprem-mgmt/cluster-1' and the logs of pod 'kube-system/onprem-user-cluster-controller' for more detailed debugging information.
In clusterapi-controller-Pod-Logs sehen die Fehler so aus:
$ kubectl logs clusterapi-controllers-[POD_NAME_SUFFIX] -n cluster-1
-c vsphere-controller-manager --kubeconfig [ADMIN_KUBECONFIG]
| grep "Error removing finalizer from machine object"
[...]
E0821 23:19:45.114993 1 machine_controller.go:269] Error removing finalizer from machine object cluster-1-pool-7cbc496597-t5d5p; Operation cannot be fulfilled on machines.cluster.k8s.io "cluster-1-pool-7cbc496597-t5d5p": the object has been modified; please apply your changes to the latest version and try again
Der Fehler wiederholt sich auf demselben Rechner mehrere Minuten lang bei erfolgreichen Ausführungen auch ohne dieses Problem. In den meisten Fällen kann er schnell behoben werden, aber in einigen seltenen Fällen kann er mehrere Stunden lang in dieser Race-Bedingung hängen bleiben.
Das Problem besteht darin, dass die zugrunde liegende VM bereits in vCenter gelöscht wurde, das entsprechende Maschinenobjekt jedoch nicht entfernt werden kann. Es bleibt aufgrund sehr häufiger Updates von anderen Controllern beim Entfernen des Finalizers hängen.
Dies kann dazu führen, dass beim Befehl gkectl eine Zeitüberschreitung auftritt, aber der Controller ständig den Cluster abgleicht, sodass der Upgrade- oder Aktualisierungsprozess abgeschlossen wird.
Workaround:
Wir haben verschiedene Optionen zur Schadensbegrenzung für dieses Problem vorbereitet, die von Ihrer Umgebung und Ihren Anforderungen abhängen.
Option 1: Warten, bis das Upgrade abgeschlossen ist
Auf der Grundlage der Analyse und der Reproduktion in Ihrer Umgebung kann das Upgrade schließlich von selbst abgeschlossen werden, ohne dass ein manuelles Eingreifen erforderlich ist. Der Nachteil dieser Option ist, dass es nicht sicher ist, wie lange es dauert, bis die Entfernung des Finalizers für jedes Maschinenobjekt abgeschlossen ist. Mit etwas Glück läuft der Vorgang sofort ab. Er kann aber auch mehrere Stunden dauern, wenn die Abstimmung des Maschinensatz-Controllers zu schnell erfolgt und der Maschinensatz-Controller keine Gelegenheit hat, den Finalizer zwischen den Abstimmungen zu entfernen.
Das Gute ist, dass Sie bei dieser Option nichts weiter tun müssen
und die Arbeitslasten nicht unterbrochen werden. Es dauert nur etwas länger
bis das Upgrade abgeschlossen ist.
Option 2: Automatische Reparatur-Annotation auf alle alten Maschinenobjekte anwenden.
Der Maschinensatz-Controller filtert die Maschinen heraus, bei denen die Annotierung für die automatische Reparatur und der Zeitstempel für das Löschen ungleich Null sind, und führt für diese Maschinen keine Löschaufrufe mehr durch. Dadurch kann die Race-Bedingung vermieden werden.
Der Nachteil ist, dass die Pods auf den Rechnern direkt gelöscht statt entfernt werden. Das bedeutet, dass die PDB-Konfiguration nicht beachtet wird, was zu Ausfallzeiten bei Ihren Arbeitslasten führen kann.
Der Befehl zum Abrufen aller Maschinennamen:
kubectl--kubeconfigCLUSTER_KUBECONFIGgetmachines
Der Befehl zum Anwenden der Annotation zur automatischen Reparatur für jede Maschine:
Wenn dieses Problem auftritt und das Upgrade oder Update auch nach längerer Zeit nicht abgeschlossen werden kann, wenden Sie sich an unser Supportteam.
Installation, Upgrades, Updates
1.10.2, 1.11, 1.12, 1.13
gkectl: Preflight-Fehler bei der Vorbereitung der Betriebssystem-Image-Validierung
Befehl gkectl prepare fehlgeschlagen mit:
- Validation Category: OS Images
- [FAILURE] Admin cluster OS images exist: os images [os_image_name] don't exist, please run `gkectl prepare` to upload os images.
Die Preflight-Prüfungen von gkectl prepare enthielten eine
inkorrekte Validierung.
Workaround:
Führen Sie denselben Befehl mit einem zusätzlichen Flag --skip-validation-os-images aus.
Installation
1.7, 1.8, 1.9, 1.10, 1.11, 1.12, 1.13
vCenter-URL mit dem Präfix https:// oder http://
kann dazu führen, dass der Cluster nicht gestartet wird
Fehler beim Erstellen des Administratorclusters:
Exit with error:
Failed to create root cluster: unable to apply admin base bundle to external cluster: error: timed out waiting for the condition, message:
Failed to apply external bundle components: failed to apply bundle objects from admin-vsphere-credentials-secret 1.x.y-gke.z to cluster external: Secret "vsphere-dynamic-credentials" is invalid:
[data[https://xxx.xxx.xxx.username]: Invalid value: "https://xxx.xxx.xxx.username": a valid config key must consist of alphanumeric characters, '-', '_' or '.'
(e.g. 'key.name', or 'KEY_NAME', or 'key-name', regex used for validation is '[-._a-zA-Z0-9]+'), data[https://xxx.xxx.xxx.password]:
Invalid value: "https://xxx.xxx.xxx.password": a valid config key must consist of alphanumeric characters, '-', '_' or '.'
(e.g. 'key.name', or 'KEY_NAME', or 'key-name', regex used for validation is '[-._a-zA-Z0-9]+')]
Die URL wird als Teil eines Secret-Schlüssels verwendet, der "/" oder ":" nicht unterstützt.
Workaround:
Entfernen Sie das Präfix https:// oder http:// aus dem Feld vCenter.Address im Administratorcluster oder der Datei „config yaml“ des Nutzerclusters.
Installation, Upgrades, Updates
1.10, 1.11, 1.12, 1.13
gkectl prepare-Panic auf util.CheckFileExists
gkectl prepare kann mit dem folgenden Stacktrace zu „Panic“ führen:
gkectl repair admin-master und fortsetzbares Administrator-Upgrade funktionieren nicht zusammen
Führen Sie nach einem fehlgeschlagenen Upgrade des Administratorclusters nicht gkectl
repair admin-master aus. Dies kann dazu führen, dass nachfolgende Upgrade-Versuche des Administrators fehlschlagen, z. B. weil der Administrator-Master nicht eingeschaltet werden kann oder die VM nicht erreichbar ist.
In Version 1.12.0 ist cgroup v2 (unified) standardmäßig aktiviert für
COS-Knoten (Container Optimized OS) Dies könnte zu einer Instabilität Ihrer Arbeitslasten in einem COS-Cluster führen.
Workaround:
Wir sind in Version 1.12.1 zurück zu cgroup v1 (Hybrid) gewechselt. Wenn Sie COS-Knoten verwenden, empfehlen wir Ihnen ein Upgrade auf Version 1.12.1, sobald diese veröffentlicht wird.
Identität
1.10, 1.11, 1.12, 1.13
Benutzerdefinierte ClientConfig-Ressource
gkectl update setzt alle manuellen Änderungen, die Sie an der benutzerdefinierten ClientConfig-Ressource vorgenommen haben, wieder zurück.
Workaround:
Es wird dringend empfohlen, die ClientConfig-Ressource nach jeder manuellen Änderung zu sichern.
Installation
1.10, 1.11, 1.12, 1.13
gkectl check-config-Validierung schlägt fehl: F5 BIG-IP-Partitionen können nicht gefunden werden
Die Validierung schlägt fehl, weil F5 BIG-IP-Partitionen nicht gefunden werden können, obwohl sie vorhanden sind.
Ein Problem mit der F5 BIG-IP API kann dazu führen, dass die Validierung fehlschlägt.
Workaround:
Versuchen Sie, gkectl check-config noch einmal auszuführen.
Installation
1.12
Nutzerclusterinstallation wegen Problem bei Leader-Auswahl durch Cert Manager/CA Injektor fehlgeschlagen
Möglicherweise tritt ein Installationsfehler aufgrund von cert-manager-cainjector in Absturzschleife auf, wenn der API-Server/etcd langsam ist:
# These are logs from `cert-manager-cainjector`, from the command
# `kubectl --kubeconfig USER_CLUSTER_KUBECONFIG -n kube-system
cert-manager-cainjector-xxx`
I0923 16:19:27.911174 1 leaderelection.go:278] failed to renew lease kube-system/cert-manager-cainjector-leader-election: timed out waiting for the condition
E0923 16:19:27.911110 1 leaderelection.go:321] error retrieving resource lock kube-system/cert-manager-cainjector-leader-election-core:
Get "https://10.96.0.1:443/api/v1/namespaces/kube-system/configmaps/cert-manager-cainjector-leader-election-core": context deadline exceeded
I0923 16:19:27.911593 1 leaderelection.go:278] failed to renew lease kube-system/cert-manager-cainjector-leader-election-core: timed out waiting for the condition
E0923 16:19:27.911629 1 start.go:163] cert-manager/ca-injector "msg"="error running core-only manager" "error"="leader election lost"
Bearbeiten Sie als Nächstes das cert-manager-cainjector-Deployment, um die Leader-Auswahl zu deaktivieren, da nur ein Replikat ausgeführt wird. Es ist für ein einzelnes Replikat nicht erforderlich:
# Add a command line flag for cainjector: `--leader-elect=false`
kubectl--kubeconfigUSER_CLUSTER_KUBECONFIGedit\-nkube-systemdeploymentcert-manager-cainjector
Das entsprechende YAML-Snippet für die cert-manager-cainjector-Bereitstellung sollte wie das folgende Beispiel aussehen:
Behalten Sie monitoring-operator-Replikate bei 0 als Minderung bei, bis die Installation abgeschlossen ist. Andernfalls wird die Änderung rückgängig gemacht.
Nachdem die Installation abgeschlossen ist und der Cluster ausgeführt wird, aktivieren Sie monitoring-operator für Tag-2-Vorgänge:
Nach jedem Upgrade werden die Änderungen rückgängig gemacht. Wiederholen Sie diese Schritte, um das Problem zu minimieren, bis es in einer zukünftigen Version behoben wird.
VMware
1.10, 1.11, 1.12, 1.13
vCenter für Versionen unter 7.0U2 neu starten oder aktualisieren
Wenn das vCenter für Versionen unter 7.0U2 nach einem Upgrade oder anderweitig neu gestartet wird, ist der Netzwerkname in VM-Informationen von vCenter falsch und führt dazu, dass sich die Maschine im Zustand Unavailable befindet. Dies führt dazu, dass die Knoten automatisch repariert werden, um neue Knoten zu erstellen.
Diese Problemumgehung wird vom VMware-Support bereitgestellt:
Das Problem wurde in vCenter-Version 7.0U2 und höher behoben.
Klicken Sie bei niedrigeren Versionen mit der rechten Maustaste auf den Host und wählen Sie
Verbindung > Verbindung trennen. Stellen Sie die Verbindung wieder her. Dadurch wird ein Update der Portgruppe der VM erzwungen.
Betriebssystem
1.10, 1.11, 1.12, 1.13
SSH-Verbindung durch Remote-Host geschlossen
Für Google Distributed Cloud Version 1.7.2 und höher sind die Ubuntu OS Images mit CIS L1 Server Benchmark gehärtet.
Um die CIS-Regel "5.2.16 Sicherstellen, dass das SSH-Zeitlimit für Inaktivität konfiguriert ist" zu erfüllen, hat /etc/ssh/sshd_config die folgenden Einstellungen:
ClientAliveInterval 300
ClientAliveCountMax 0
Bei diesen Einstellungen wird eine Clientsitzung nach 5 Minuten Inaktivität beendet. Der Wert ClientAliveCountMax 0 führt jedoch zu unerwartetem Verhalten. Wenn Sie die SSH-Sitzung auf der Administratorworkstation oder einem Clusterknoten verwenden, wird die SSH-Verbindung möglicherweise getrennt, auch wenn Ihr SSH-Client nicht inaktiv ist, z. B. wenn ein zeitaufwendiger Befehl ausgeführt wird. Ihr Befehl wird dann möglicherweise mit der folgenden Nachricht beendet:
Connection to [IP] closed by remote host.
Connection to [IP] closed.
Workaround:
Sie haben folgende Möglichkeiten:
Verwenden Sie nohup, um zu verhindern, dass Ihr Befehl beim Trennen der SSH-Verbindung beendet wird.
Aktualisieren Sie sshd_config so, dass ein ClientAliveCountMax-Wert ungleich null verwendet wird. Die CIS-Regel empfiehlt die Verwendung eines Werts unter 3:
Denken Sie daran, die SSH-Sitzung neu zu verbinden.
Installation
1.10, 1.11, 1.12, 1.13
In Konflikt stehende cert-manager-Installation
In Version 1.13 installiert monitoring-operator cert-manager im Namespace cert-manager. Wenn Sie aus bestimmten Gründen Ihren eigenen Cert-Manager installieren müssen, folgen Sie der folgenden Anleitung, um Konflikte zu vermeiden:
Hinweis: Sie müssen diese Aufgabe nur einmal für jeden Cluster anwenden und die Änderungen bleiben beim Clusterupgrade erhalten.
Hinweis: Ein häufiges Symptom bei der Installation eines eigenen cert-managers ist, dass die cert-manager-Version oder das Image (z. B. Version 1.7.2) auf die ältere Version zurückgesetzt wird. Dies wird dadurch verursacht, dass monitoring-operator versucht, cert-manager abzugleichen und dabei die Version zurücksetzt.
Workaround:
<pKonflikte während des Upgrades vermeiden
Deinstallieren Sie Ihre Version von cert-manager. Wenn Sie Ihre eigenen Ressourcen definiert haben, sollten Sie diese sichern.
Sie können diesen Schritt überspringen, wenn Sie die vorgelagerte Standardinstallation von cert-manager verwenden oder sicher sind, dass Ihr cert-manager im Namespace cert-manager installiert ist.
Kopieren Sie andernfalls das cert-manager.io/v1-Zertifikat metrics-ca und die metrics-pki.cluster.local-Issuer-Ressourcen von cert-manager in den Clusterressourcen-Namespace des installierten cert-managers.
Eigenen cert-manager in Administratorclustern wiederherstellen
Im Allgemeinen sollten Sie cert-manager in Administratorclustern nicht neu installieren müssen, da Administratorcluster nur Arbeitslasten auf der Steuerungsebene von Google Distributed Cloud ausführen. In den seltenen Fällen, in denen Sie auch Ihren eigenen cert-manager in Administratorclustern installieren müssen, folgen Sie der folgenden Anleitung, um Konflikte zu vermeiden. Wenn Sie Apigee-Kunde sind und cert-manager nur für Apigee benötigen, müssen Sie die Befehle des Administratorclusters nicht ausführen.
Skalieren Sie das monitoring-operator-Deployment auf 0.
Sie können diesen Schritt überspringen, wenn Sie die vorgelagerte Standardinstallation von cert-manager verwenden oder sicher sind, dass Ihr cert-manager im Namespace cert-manager installiert ist.
Kopieren Sie andernfalls das cert-manager.io/v1-Zertifikat metrics-ca und die metrics-pki.cluster.local-Issuer-Ressourcen von cert-manager in den Clusterressourcen-Namespace des installierten cert-managers.
Falsch positive Ergebnisse beim Scannen auf Sicherheitslücken in Docker, Containerd und Runc
Docker, containerd und runc in den Ubuntu Betriebssystem-Images, die mit Google Distributed Cloud ausgeliefert werden, werden mithilfe des Ubuntu PPA an spezielle Versionen gepinnt. Dadurch wird sichergestellt, dass alle Änderungen an der Container-Laufzeit vor jeder Veröffentlichung von Google Distributed Cloud qualifiziert werden.
Die speziellen Versionen sind jedoch im Ubuntu CVE-Tracker unbekannt. Er wird von den CVE-Scantools als Feeds für Sicherheitslücken verwendet. Daher werden falsch positive Ergebnisse beim Scannen auf Sicherheitslücken in Docker, Containerd und Runc angezeigt.
Zum Beispiel können die folgenden falsch positiven Ergebnisse aus den CVE-Scanergebnissen angezeigt werden. Diese CVEs wurden im neuesten Patch von Google Distributed Cloud bereits behoben.
Die Netzwerkverbindung zwischen Administrator- und Nutzercluster ist möglicherweise während des Upgrades eines Nicht-HA-Clusters für kurze Zeit nicht verfügbar.
Wenn Sie ein Upgrade von Clustern ohne Hochverfügbarkeit von Version 1.9 auf 1.10 durchführen, werden Sie möglicherweise feststellen, dass kubectl exec, kubectl log und Webhook für Nutzercluster für eine kurze Zeit nicht verfügbar sind. Diese Ausfallzeit kann bis zu einer Minute betragen. Dies liegt daran, dass die eingehende Anfrage (kubectl exec, kubectl log und webhook) von kube-apiserver für den Nutzercluster verarbeitet wird. Der Nutzer „kube-apiserver” ist ein Statefulset. In einem Nicht-HA-Cluster gibt es nur ein Replikat für das StatefulSet. Während des Upgrades kann es also sein, dass der alte kube-apiserver nicht verfügbar ist, während der neue kube-apiserver noch nicht bereit ist.
Workaround:
Diese Ausfallzeit findet nur während des Upgrades statt. Wenn Sie während des Upgrades eine kürzere Ausfallzeit wünschen, empfehlen wir, zu HA-Clustern zu wechseln.
Installation, Upgrades, Updates
1.10, 1.11, 1.12, 1.13
Prüfung der Konnektivitätsbereitschaft in HA-Clustern nach Cluster-Erstellung oder Upgrade fehlgeschlagen
Wenn Sie einen HA-Cluster erstellen oder aktualisieren und die Prüfung der Konnektivitätsbereitschaft bei der Clusterdiagnose fehlschlägt, wirkt sich dies in den meisten Fällen nicht auf die Funktionalität von Google Distributed Cloud (kubectl exec, kubectl log und Webhook) aus. Der Grund dafür ist, dass manchmal eine oder zwei der Konnektivitätsreplikate aufgrund eines instabilen Netzwerks oder anderer Probleme eine Zeit lang nicht einsatzbereit sind.
Workaround:
Die Konnektivität wird alleine wiederhergestellt. Warten Sie 30 Minuten bis eine Stunde und führen Sie die Clusterdiagnose noch einmal aus.
Netzwerk
1.10, 1.11, 1.12, 1.13
Load-Balancer und zustandsorientierte verteilte NSX-T-Firewallregeln interagieren unvorhersehbar
Wenn bei der Bereitstellung von Google Distributed Cloud Version 1.9 oder höher der gebündelte Seesaw-Load-Balancer der Bereitstellung in einer Umgebung mit zustandsorientierten verteilten NSX-T-Firewallregeln vorhanden ist, erstellt stackdriver-operator möglicherweise keine gke-metrics-agent-conf-ConfigMap und verursacht, dass gke-connect-agent-Pods in einer Absturzschleife landen.
Das zugrunde liegende Problem besteht darin, dass die zustandsorientierten verteilten NSX-T-Firewallregeln die Verbindung von einem Client zum Nutzercluster-API-Server über den Seesaw-Load-Balancer beenden, da Seesaw asymmetrische Verbindungsflüsse verwendet. Die Integrationsprobleme mit NSX-T-verteilten Firewallregeln wirken sich auf alle Google Distributed Cloud-Releases aus, die Seesaw verwenden. Möglicherweise treten bei Ihren eigenen Anwendungen ähnliche Verbindungsprobleme auf, wenn sie große Kubernetes-Objekte erstellen, deren Größe größer als 32 KB ist.
Workaround:
Folgen Sie dieser Anleitung, um verteilte NSX-T-Firewallregeln zu deaktivieren oder zustandslose verteilte Firewallregeln für Seesaw-VMs zu verwenden.
Wenn Ihre Cluster einen manuellen Load-Balancer verwenden, folgen Sie dieser Anleitung, um Ihren Load-Balancer so zu konfigurieren, dass Clientverbindungen zurückgesetzt werden, wenn ein Backend-Knotenfehler auftritt. Ohne diese Konfiguration reagieren Clients des Kubernetes API-Servers möglicherweise mehrere Minuten lang nicht, wenn eine Serverinstanz ausfällt.
Logging und Monitoring
1.10, 1.11, 1.12, 1.13, 1.14, 1.15
Unerwartete Abrechnung für Monitoring
Bei den Google Distributed Cloud-Versionen 1.10 bis 1.15 haben einige Kunden auf der Seite Abrechnung eine unerwartet hohe Abrechnung für Metrics volume festgestellt. Dieses Problem betrifft Sie nur, wenn die beiden folgenden Umstände zutreffen:
Logging und Monitoring für Anwendungen ist aktiviert (enableStackdriverForApplications=true)
Anwendungs-Pods haben die Annotation prometheus.io/scrap=true. (Die Installation von Cloud Service Mesh kann auch diese Annotation hinzufügen.)
Um festzustellen, ob Sie von diesem Problem betroffen sind, listen Sie Ihre benutzerdefinierten Messwerte auf. Wenn Sie die Abrechnung unerwünschter Messwerte mit dem Namenspräfix external.googleapis.com/prometheus sehen und auch enableStackdriverForApplications in der Antwort von kubectl -n kube-system get stackdriver stackdriver -o yaml auf „true“ gesetzt ist, trifft dieses Problem auf Sie zu.
Problemumgehung
Wenn Sie von diesem Problem betroffen sind, empfehlen wir Ihnen, ein Upgrade Ihrer Cluster auf Version 1.12 oder höher durchzuführen, das enableStackdriverForApplications-Flag nicht mehr zu verwenden und zu einer neuen Lösung für das Anwendungsmonitoring managed-service-for-prometheus zu wechseln, die nicht mehr auf die prometheus.io/scrap=true-Annotation angewiesen ist. Mit der neuen Lösung können Sie die Erfassung von Logs und Messwerten für Ihre Anwendungen auch separat über das Flag enableCloudLoggingForApplications bzw. enableGMPForApplications steuern.
Wenn Sie das Flag enableStackdriverForApplications nicht mehr verwenden möchten, öffnen Sie das Stackdriver-Objekt zur Bearbeitung:
Das Installationsprogramm schlägt beim Erstellen eines vSphere-Datenlaufwerks fehl
Das Google Distributed Cloud-Installationsprogramm kann fehlschlagen, wenn benutzerdefinierte Rollen auf der falschen Berechtigungsebene gebunden sind.
Wenn die Rollenbindung falsch ist, bleibt das Erstellen eines vSphere-Datenlaufwerks mit govc hängen und das Laufwerk wird mit einer Größe von 0 erstellt. Um das Problem zu beheben, sollten Sie die benutzerdefinierte Rolle auf vSphere Vcenter-Ebene (Root) binden.
Workaround:
Wenn Sie die benutzerdefinierte Rolle auf DC-Ebene (oder niedriger als Root) binden möchten, müssen Sie dem Nutzer auch die schreibgeschützte Rolle auf Root-vCenter-Ebene zuweisen.
Wenn in Ihren OOTB-Dashboards eingestellte Messwerte verwendet werden, sehen Sie
ein paar leere Diagramme. Um die veralteten Messwerte in den Monitoring-Dashboards zu finden, führen Sie die folgenden Befehle aus:
Löschen Sie den „GKE On-Prem-Knotenstatus” im Google Cloud Monitoring-Dashboard. Installieren Sie den „GKE On-Prem-Knotenstatus” neu. Folgen Sie dazu dieser Anleitung.
Löschen Sie die GKE On-Prem-Knotenauslastung im Google Cloud Monitoring-Dashboard. Installieren Sie „GKE On-Prem-Knotenauslastung” neu. Folgen Sie dazu dieser Anleitung.
Löschen Sie "GKE on-prem vSphere vm health" im Google Cloud Monitoring-Dashboard. Um „GKE on-prem vSphere vm health“ neu zu installieren,
folgen Sie
dieser Anleitung.
Diese Abschaltung ist auf das Upgrade des kube-state-metrics-Agents von v1.9 auf v2.4 zurückzuführen, das für Kubernetes 1.22 erforderlich ist. Sie können alle eingestellten
kube-state-metrics-Messwerte mit dem Präfix
kube_ in Ihren benutzerdefinierten Dashboards oder Benachrichtigungsrichtlinien ersetzen.
Logging und Monitoring
1.10, 1.11, 1.12, 1.13
Unbekannte Messwertdaten in Cloud Monitoring
Ab Google Distributed Cloud Version 1.10 können die Daten für
Cluster in Cloud Monitoring irrelevante zusammenfassende Messwerte-Einträge wie die folgenden enthalten:
Führen Sie zur Behebung dieses Problems die folgenden Schritte aus: [Version 1.9.5 und höher, 1.10.2 und höher, 1.11.0]: Erhöhen Sie die CPU für gke-metrics-agent mit den Schritten 1 bis 4.
Öffnen Sie die Ressource stackdriver zum Bearbeiten:
Fügen Sie dem Manifest stackdriver den folgenden Abschnitt resourceAttrOverride hinzu, um die CPU-Anfrage für gke-metrics-agent von 10m auf 50m und das CPU-Limit von 100m auf 200m zu erhöhen:
Der Befehl sucht cpu: 50m, wenn Ihre Änderungen wirksam geworden sind.
Logging und Monitoring
1.11.0-1.11.2, 1.12.0
Fehlende Planer- und Controller-Manager-Messwerte im Administratorcluster
Wenn Ihr Administratorcluster von diesem Problem betroffen ist, fehlen Planer- und Controller-Manager-Messwerte. Diese beiden Messwerte
fehlen
# scheduler metric example
scheduler_pending_pods
# controller-manager metric example
replicaset_controller_rate_limiter_use
Workaround:
Führen Sie ein Upgrade auf v1.11.3 oder höher, v1.12.1 oder höher oder v1.13 oder höher durch.
1.11.0-1.11.2, 1.12.0
Fehlende Planer- und Controller-Manager-Messwerte im Nutzercluster
Wenn Ihr Nutzercluster von diesem Problem betroffen ist, fehlen Planer- und
Controller-Manager-Messwerte. Diese beiden Messwerte
fehlen:
# scheduler metric example
scheduler_pending_pods
# controller-manager metric example
replicaset_controller_rate_limiter_use
Workaround:
Dieses Problem wurde in Google Distributed Cloud Version 1.13.0 und höher behoben.
Aktualisieren Sie Ihren Cluster auf eine Version mit der Fehlerkorrektur.
Installation, Upgrades, Updates
1.10, 1.11, 1.12, 1.13
Fehler beim Registrieren des Administratorclusters während der Erstellung
Wenn Sie einen Administratorcluster für Version 1.9.x oder 1.10.0 erstellen und der Administratorcluster sich während der Erstellung nicht mit der bereitgestellten gkeConnect-Spezifikation registrieren kann, wird der folgende Fehler angezeigt.
Failed to create root cluster: failed to register admin cluster: failed to register cluster: failed to apply Hub Membership: Membership API request failed: rpc error: ode = PermissionDenied desc = Permission 'gkehub.memberships.get' denied on PROJECT_PATH
Sie können diesen Administratorcluster weiterhin verwenden, erhalten jedoch die folgende Fehlermeldung, wenn Sie später versuchen, den Administratorcluster auf Version 1.10.y zu aktualisieren.
failed to migrate to first admin trust chain: failed to parse current version "": invalid version: "" failed to migrate to first admin trust chain: failed to parse current version "": invalid version: ""
Wenn dieser Fehler auftritt, gehen Sie folgendermaßen vor, um das Problem mit der Clusterregistrierung zu beheben. Nachdem Sie dieses Problem behoben haben, können Sie ein Upgrade des Administratorclusters ausführen.
Führen Sie gkectl update admin aus, um den Administratorcluster mit dem richtigen Dienstkontoschlüssel zu registrieren.
Erstellen Sie ein dediziertes Dienstkonto zum Patchen der benutzerdefinierten Ressource OnPremAdminCluster.
exportKUBECONFIG=ADMIN_CLUSTER_KUBECONFIG# Create Service Account modify-admin
kubectlapply-f-<<EOF
apiVersion:v1
kind:ServiceAccount
metadata:
name:modify-admin
namespace:kube-system
EOF
# Create ClusterRole
kubectlapply-f-<<EOF
apiVersion:rbac.authorization.k8s.io/v1
kind:ClusterRole
metadata:
creationTimestamp:null
name:modify-admin-role
rules:
-apiGroups:
-"onprem.cluster.gke.io"resources:
-"onpremadminclusters/status"verbs:
-"patch"
EOF
# Create ClusterRoleBinding for binding the permissions to the modify-admin SA
kubectlapply-f-<<EOF
apiVersion:rbac.authorization.k8s.io/v1
kind:ClusterRoleBinding
metadata:
creationTimestamp:null
name:modify-admin-rolebinding
roleRef:
apiGroup:rbac.authorization.k8s.io
kind:ClusterRole
name:modify-admin-role
subjects:
-kind:ServiceAccount
name:modify-admin
namespace:kube-system
EOF
Ersetzen Sie ADMIN_CLUSTER_KUBECONFIG durch den Pfad der kubeconfig-Datei des Administratorclusters.
Führen Sie diese Befehle aus, um die benutzerdefinierte Ressource OnPremAdminCluster zu aktualisieren.
exportKUBECONFIG=ADMIN_CLUSTER_KUBECONFIGSERVICE_ACCOUNT=modify-admin
SECRET=$(kubectlgetserviceaccount${SERVICE_ACCOUNT}\-nkube-system-ojson\|jq-Mr'.secrets[].name | select(contains("token"))')TOKEN=$(kubectlgetsecret${SECRET}-nkube-system-ojson\|jq-Mr'.data.token'|base64-d)
kubectlgetsecret${SECRET}-nkube-system-ojson\|jq-Mr'.data["ca.crt"]'\|base64-d>/tmp/ca.crt
APISERVER=https://$(kubectl-ndefaultgetendpointskubernetes\--no-headers|awk'{ print $2 }')# Find out the admin cluster name and gkeOnPremVersion from the OnPremAdminCluster CRADMIN_CLUSTER_NAME=$(kubectlgetonpremadmincluster-nkube-system\--no-headers|awk'{ print $1 }')GKE_ON_PREM_VERSION=$(kubectlgetonpremadmincluster\-nkube-system$ADMIN_CLUSTER_NAME\-o=jsonpath='{.spec.gkeOnPremVersion}')# Create the Status field and set the gkeOnPremVersion in OnPremAdminCluster CR
curl-H"Accept: application/json"\--header"Authorization: Bearer $TOKEN"-XPATCH\-H"Content-Type: application/merge-patch+json"\--cacert/tmp/ca.crt\--data'{"status": {"gkeOnPremVersion": "'$GKE_ON_PREM_VERSION'"}}'\$APISERVER/apis/onprem.cluster.gke.io/v1alpha1/namespaces/kube-system/onpremadminclusters/$ADMIN_CLUSTER_NAME/status
Versuchen Sie noch einmal, den Administratorcluster mit dem Flag --disable-upgrade-from-checkpoint zu aktualisieren.
Wenn dieses Problem bei einem vorhandenen Cluster aufgetreten ist, können Sie einen der folgenden Schritte ausführen:
Deaktivieren Sie den GKE Identity Service. Wenn Sie den GKE Identity Service deaktivieren, wird die bereitgestellte GKE Identity Service-Binärdatei oder die GKE Identity Service-ClientConfig nicht entfernt. Führen Sie diesen Befehl aus, um den GKE Identity Service zu deaktivieren:
Aktualisieren Sie den Cluster auf Version 1.9.3 oder höher oder auf Version 1.10.1 oder höher, um die Connect Agent-Version zu aktualisieren.
Netzwerk
1.10, 1.11, 1.12, 1.13
Cisco ACI funktioniert nicht mit Direct Server Return (DSR)
Seesaw wird im DSR-Modus ausgeführt und funktioniert aufgrund des IP-Lernens auf Datenebene standardmäßig nicht in Cisco ACI.
Workaround:
Eine mögliche Problemumgehung besteht in der Deaktivierung des IP-Lernens. Fügen Sie dazu die Seesaw-IP-Adresse als virtuelle L4-L7-IP-Adresse zum Cisco Application Policy Infrastructure Controller (APIC) hinzu.
Sie können die virtuelle IP-Adresse für L4-L7 unter Mandant > Anwendungsprofile > Anwendungs-EPGs oder uSeg-EPGs konfigurieren. Wird das IP-Lernen nicht deaktiviert, führt dies zu Flapping von IP-Endpunkten zwischen verschiedenen Standorten in der Cisco API-Fabric.
VMware
1.10, 1.11, 1.12, 1.13
Probleme mit dem vSphere 7.0 Update 3
VMWare hat vor Kurzem kritische Probleme in den folgenden vSphere 7.0 Update 3-Releases identifiziert:
vSphere ESXi 7.0 Update 3 (Build 18644231)
vSphere ESXi 7.0 Update 3a (Build 18825058)
vSphere ESXi 7.0 Update 3b (Build 18905247)
vSphere vCenter 7.0 Update 3b (Build 18901211)
Workaround:
VMWare hat diese Releases seitdem entfernt. Sie sollten ESXi und vCenter Server auf eine neuere Version aktualisieren.
Betriebssystem
1.10, 1.11, 1.12, 1.13
Fehler beim Bereitstellen eines emptyDir-Volumes als exec in einem Pod, der auf COS-Knoten ausgeführt wird
Für Pods, die auf Knoten ausgeführt werden, die Container-Optimized OS-Images (COS) verwenden, können Sie das Volume emptyDir nicht als exec bereitstellen. Es wird bereitgestellt als
noexec und Sie erhalten die folgende Fehlermeldung: exec user
process caused: permission denied. Sie sehen z. B. Folgendes:
Fehlermeldung beim Bereitstellen des folgenden Test-Pods:
apiVersion: apps/v1
kind: DaemonSet
metadata:
name: fix-cos-noexec
namespace: kube-system
spec:
selector:
matchLabels:
app: fix-cos-noexec
template:
metadata:
labels:
app: fix-cos-noexec
spec:
hostIPC: true
hostPID: true
containers:
- name: fix-cos-noexec
image: ubuntu
command: ["chroot", "/host", "bash", "-c"]
args:
- |
set -ex
while true; do
if ! $(nsenter -a -t 1 findmnt -l | grep -qe "^/var/lib/kubelet\s"); then
echo "remounting /var/lib/kubelet with exec"
nsenter -a -t 1 mount --bind /var/lib/kubelet /var/lib/kubelet
nsenter -a -t 1 mount -o remount,exec /var/lib/kubelet
fi
sleep 3600
done
volumeMounts:
- name: host
mountPath: /host
securityContext:
privileged: true
volumes:
- name: host
hostPath:
path: /
Upgrades, Updates
1.10, 1.11, 1.12, 1.13
Das Update des Clusterknotenpool-Replikats funktioniert nicht, nachdem die automatische Skalierung für den Knotenpool deaktiviert wurde
Knotenpoolreplikate werden nicht aktualisiert, nachdem Autoscaling für einen Knotenpool aktiviert und deaktiviert wurde.
Workaround:
So entfernen Sie die Annotationen
cluster.x-k8s.io/cluster-api-autoscaler-node-group-max-size
und cluster.x-k8s.io/cluster-api-autoscaler-node-group-min-size
aus der Maschinenbereitstellung des entsprechenden Knotenpools.
Logging und Monitoring
1.11, 1.12, 1.13
Windows-Monitoring-Dashboards zeigen Daten aus Linux-Clustern
Ab Version 1.11 zeigen das Windows-Dashboard für den Pod-Status und das Windows-Dashboard für den Knoten-Status in den Standard-Dashboards auch Daten von Linux-Clustern an. Das liegt daran, dass die Windows-Knoten- und Pod-Messwerte auch in Linux-Clustern verfügbar sind.
Logging und Monitoring
1.10, 1.11, 1.12
stackdriver-log-forwarder in konstantem CrashLoopBackOff
Bei Google Distributed Cloud Version 1.10, 1.11 und 1.12 kann es beim stackdriver-log-forwarder-DaemonSet zu CrashLoopBackOff-Fehlern kommen, wenn auf dem Laufwerk defekte Logs im Zwischenspeicher vorhanden sind.
Workaround:
Um dieses Problem zu beheben, müssen wir die zwischengespeicherten Logs auf dem Knoten bereinigen.
Skalieren Sie stackdriver-log-forwarder herunter, um das unerwartete Verhalten zu verhindern:
Mit den folgenden Befehlen können Sie prüfen, ob das Bereinigungs-DaemonSet alle Blöcke bereinigt hat. Die Ausgabe der beiden Befehle sollte Ihrer Knotennummer im Cluster entsprechen:
Wahrscheinlich überschreitet die Logeingangsrate den Grenzwert des Logging-Agents, wodurch stackdriver-log-forwarder keine Logs sendet.
Dieses Problem tritt in allen Google Distributed Cloud-Versionen auf.
Behelfslösung:
Um dieses Problem zu beheben, müssen Sie das Ressourcenlimit für den Logging-Agenten erhöhen.
Öffnen Sie die Ressource stackdriver zum Bearbeiten:
Der Befehl sucht cpu: 1200m, wenn Ihre Änderungen wirksam geworden sind.
Sicherheit
1.13
Der Kubelet-Dienst ist nach NodeReady vorübergehend nicht verfügbar.
Es gibt einen kurzen Zeitraum, in dem der Knoten bereit ist, aber das Kubelet-Server-Zertifikat noch nicht vorliegt. kubectl exec und
kubectl logs sind in dieser Zeit nicht verfügbar.
Dies liegt daran, dass es einige Zeit dauert, bis der neue Genehmiger des Serverzertifikats die aktualisierten gültigen IP-Adressen des Knotens sieht.
Dieses Problem betrifft nur das kubelet-Serverzertifikat und hat keine Auswirkungen auf die Pod-Planung.
Upgrades, Updates
1.12
Das teilweise Upgrade des Administratorclusters blockiert das spätere Upgrade des Nutzerclusters nicht
Fehler beim Upgrade des Nutzerclusters:
.LBKind in body is required (Check the status of OnPremUserCluster 'cl-stg-gdl-gke-onprem-mgmt/cl-stg-gdl' and the logs of pod 'kube-system/onprem-user-cluster-controller' for more detailed debugging information.
Der Administratorcluster wurde nicht vollständig aktualisiert und die Statusversion ist immer noch 1.10. Das Upgrade des Nutzerclusters auf 1.12 wird nicht durch eine Preflight-Prüfung blockiert und schlägt mit einer Versionsabweichung fehl.
Workaround:
Führen Sie zuerst ein Upgrade des Administratorclusters auf 1.11 durch und dann ein Upgrade des Nutzerclusters auf 1.12.
Speicher
1.10.0-1.10.5, 1.11.0-1.11.2, 1.12.0
Datastore meldet fälschlicherweise, dass nicht genügend freier Speicherplatz verfügbar ist
Der Befehl gkectl diagnose cluster ist fehlgeschlagen:
Checking VSphere Datastore FreeSpace...FAILURE
Reason: vCenter datastore: [DATASTORE_NAME] insufficient FreeSpace, requires at least [NUMBER] GB
Die Validierung des freien Speicherplatzes im Datenspeicher sollte nicht für vorhandene Clusterknotenpools verwendet werden und wurde gkectl diagnose cluster irrtümlicherweise hinzugefügt.
Workaround:
Sie können die Fehlermeldung ignorieren oder die Validierung mit
--skip-validation-infra überspringen.
Vorgang, Netzwerk
1.11, 1.12.0-1.12.1
Neuer Nutzercluster kann nicht hinzugefügt werden, wenn der Administratorcluster MetalLB Load Balancer verwendet.
Sie können möglicherweise keinen neuen Nutzercluster hinzufügen, wenn Ihr Administratorcluster mit einer MetalLB Load Balancer-Konfiguration eingerichtet ist.
Der Vorgang zum Löschen des Nutzerclusters kann aus irgendeinem Grund hängen bleiben, was zu einer Entwertung der MatalLB-ConfigMap führt. Es ist nicht möglich, einen neuen Nutzercluster mit diesem Status hinzuzufügen.
Fehler bei Verwendung von Container-Optimized OS (COS) für Nutzercluster
Wenn osImageType für den Administratorcluster cos verwendet und gkectl check-config nach der Erstellung des Administratorclusters und vor der Erstellung des Nutzerclusters ausgeführt wird, kommt es zu einem Fehler:
Failed to create the test VMs: VM failed to get IP addresses on the network.
Die für den Nutzercluster check-config erstellte Test-VM verwendet standardmäßig den gleichen osImageType wie der Administratorcluster. Derzeit ist die Test-VM noch nicht mit COS kompatibel.
Workaround:
Um die langsame Preflight-Prüfung zu vermeiden, die die Test-VM erstellt, verwenden Sie
gkectl check-config --kubeconfig ADMIN_CLUSTER_KUBECONFIG --config
USER_CLUSTER_CONFIG --fast.
Logging und Monitoring
1.12.0-1.12.1
Grafana im Administratorcluster kann Nutzercluster nicht erreichen
Dieses Problem betrifft Kunden, die Grafana im Administratorcluster verwenden, um Nutzercluster in den Google Distributed Cloud Versionen 1.12.0 und 1.12.1 zu überwachen. Die Ursache ist eine Diskrepanz zwischen den Zertifikaten des Pushprox-Clients in den Nutzerclustern und der Zulassungsliste des Pushprox-Servers im Administratorcluster.
Das Symptom ist, dass pushprox-client in Nutzerclustern Fehlerlogs wie die folgenden ausgibt:
Suchen Sie die Zeile principals für den Listener external-pushprox-server-auth-proxy und korrigieren Sie den principal_name für alle Nutzercluster. Entfernen Sie dazu den Teilstring kube-system aus pushprox-client.metrics-consumers.kube-system.cluster.. Die neue Konfiguration sollte so aussehen:
Starten Sie die Bereitstellung von pushprox-server im Administratorcluster und die Bereitstellung von pushprox-client in den betroffenen Nutzerclustern neu:
Das Problem sollte mit den vorherigen Schritten behoben sein. Sobald der Cluster auf 1.12.2 oder höher aktualisiert wurde und das Problem behoben ist, skalieren Sie den Administratorcluster-Monitoring-Operator „kube-system“, damit er die Pipeline wieder verwalten kann.
Cloud-Audit-Logging-Fehler aufgrund einer abgelehnten Berechtigung
Anthos Cloud-Audit-Logging erfordert eine spezielle Berechtigungseinrichtung, die derzeit nur für Nutzercluster über GKE Hub automatisch ausgeführt wird.
Es wird empfohlen, mindestens einen Nutzercluster zu verwenden, der dieselbe Projekt-ID und dasselbe Dienstkonto mit dem Administratorcluster für Cloud-Audit-Logs verwendet, damit der Administratorcluster die erforderliche Berechtigung hat.
Wenn jedoch der Administratorcluster eine andere Projekt-ID oder ein anderes Dienstkonto als ein Nutzercluster verwendet, können die Logs des Administratorclusters nicht in die Google Cloud injiziert werden. Das Symptom ist eine Reihe von Permission Denied-Fehlern im Pod audit-proxy im Administratorcluster.
Führen Sie je nach Antwort einen der folgenden Schritte aus:
Wenn Sie den Fehler 404 Not_found erhalten, ist für diese Projekt-ID kein Dienstkonto zugelassen. Sie können ein Dienstkonto auf die Zulassungsliste setzen, indem Sie die Hub-Funktion cloudauditlogging aktivieren:
Wenn Sie eine Featurespezifikation erhalten haben, die "lifecycleState": "ENABLED" mit "code":
"OK" und eine Liste der Dienstkonten in allowlistedServiceAccounts enthält, sind vorhandene Dienstkonten für dieses Projekt zulässig. Sie können entweder ein Dienstkonto aus dieser Liste in Ihrem Cluster verwenden oder ein neues Dienstkonto zur Zulassungsliste hinzufügen:
Wenn Sie eine Featurespezifikation erhalten, die "lifecycleState": "ENABLED" mit "code":
"FAILED" enthält, ist die Berechtigungseinrichtung nicht erfolgreich.
Versuchen Sie, die Probleme im Feld description der Antwort zu beheben, oder sichern Sie die aktuelle Zulassungsliste, löschen Sie die Hub-Funktion cloudauditlogging und aktivieren Sie sie noch einmal gemäß Schritt 1 dieses Abschnitts. Sie können die Hub-Funktion cloudauditlogging auf folgende Weise löschen:
/var/log/audit/ füllt den Laufwerksspeicher auf VMs
/var/log/audit/ wird mit Audit-Logs gefüllt. Sie können die Laufwerksnutzung durch Ausführen von sudo du -h -d 1 /var/log/audit prüfen.
Bestimmte gkectl-Befehle auf der Administratorworkstation, z. B. gkectl diagnose snapshot, tragen zur Speicherplatznutzung bei.
Seit Google Distributed Cloud v1.8 ist das Ubuntu-Image mit der CIS-Level-2-Benchmark gehärtet. Und eine der Complianceregeln, „4.1.2.2 Sicherstellen, dass Audit-Logs
nicht automatisch gelöscht werden“, sorgt für die Auditd-Einstellung
max_log_file_action = keep_logs Dies führt dazu, dass alle Audit-Regeln auf dem Laufwerk gespeichert werden.
Für die Administratorworkstation können Sie die auditd-Einstellungen manuell ändern, um die Logs automatisch zu rotieren, und dann den auditd-Dienst neu starten:
Die obige Einstellung würde auditd dazu veranlassen, seine Logs automatisch zu rotieren, sobald es mehr als 250 Dateien (jede mit 8M Größe) erzeugt hat.
Cluster-Knoten
Führen Sie für Clusterknoten ein Upgrade auf 1.11.5+, 1.12.4+, 1.13.2+ oder 1.14+ durch. Wenn Sie noch kein Upgrade auf diese Versionen durchführen können, wenden Sie das folgende DaemonSet auf Ihren Cluster an:
apiVersion:apps/v1kind:DaemonSetmetadata:name:change-auditd-log-actionnamespace:kube-systemspec:selector:matchLabels:app:change-auditd-log-actiontemplate:metadata:labels:app:change-auditd-log-actionspec:hostIPC:truehostPID:truecontainers:-name:update-audit-ruleimage:ubuntucommand:["chroot","/host","bash","-c"]args:-|while true; doif $(grep -q "max_log_file_action = keep_logs" /etc/audit/auditd.conf); thenecho "updating auditd max_log_file_action to rotate with a max of 250 files"sed -i 's/max_log_file_action = keep_logs/max_log_file_action = rotate/g' /etc/audit/auditd.confsed -i 's/num_logs = .*/num_logs = 250/g' /etc/audit/auditd.confecho "restarting auditd"systemctl restart auditdelseecho "auditd setting is expected, skip update"fisleep 600donevolumeMounts:-name:hostmountPath:/hostsecurityContext:privileged:truevolumes:-name:hosthostPath:path:/
Beachten Sie, dass diese Änderung der auditd-Konfiguration gegen die CIS Level 2 Regel „4.1.2.2 Sicherstellen, dass Audit Logs nicht automatisch gelöscht werden“ verstoßen würde.
Netzwerk
1.10, 1.11.0-1.11.3, 1.12.0-1.12.2, 1.13.0
NetworkGatewayGroup Floating-IP-Adresse steht in Konflikt mit der Knotenadresse
Nutzer können keine NetworkGatewayGroup-Objekte erstellen oder aktualisieren, weil der folgende Webhook-Fehler bei der Validierung auftritt:
[1] admission webhook "vnetworkgatewaygroup.kb.io" denied the request: NetworkGatewayGroup.networking.gke.io "default" is invalid: [Spec.FloatingIPs: Invalid value: "10.0.0.100": IP address conflicts with node address with name: "my-node-name"
In betroffenen Versionen kann das Kubelet fälschlicherweise an eine Floating-IP-Adresse gebunden werden, die dem Knoten zugewiesen ist, und sie als Knotenadresse in node.status.addresses melden. Der validierende Webhook prüft
NetworkGatewayGroup Floating-IP-Adressen für alle
node.status.addresses im Cluster und betrachtet dies als
Konflikt.
Workaround:
In demselben Cluster, in dem die Erstellung oder Aktualisierung von NetworkGatewayGroup-Objekten fehlschlägt, deaktivieren Sie vorübergehend den ANG-Validierungs-Webhook und senden Ihre Änderung:
Speichern Sie die Webhook-Konfiguration, damit sie am Ende wiederhergestellt werden kann:
Entfernen Sie den Eintrag vnetworkgatewaygroup.kb.io aus der Liste der Webhook-Konfigurationen und schließen Sie sie, um die Änderungen anzuwenden.
Erstellen oder bearbeiten Sie das NetworkGatewayGroup-Objekt.
Wenden Sie wieder die ursprüngliche Webhook-Konfiguration an:
kubectl-nkube-systemapply-fwebhook-config.yaml
Netzwerk
Alle Versionen vor 1.14.7, 1.15.0-1.15.3, 1.16.0
Von Seesaw gesendete GARP-Antwort legt keine Ziel-IP-Adresse fest
Der regelmäßig alle 20 Sekunden von Seesaw gesendete GARP (Gratuitous ARP) legt die Ziel-IP-Adresse im ARP-Header nicht fest. Einige Netzwerke akzeptieren solche Pakete möglicherweise nicht (z. B. Cisco ACI). Dies kann zu längeren Ausfallzeiten der Dienste führen, nachdem ein Split-Brain (aufgrund von VRRP-Paketverlusten) wiederhergestellt wurde.
Workaround:
Lösen Sie ein Seesaw-Failover aus, indem Sie sudo seesaw -c failover auf einer der Seesaw-VMs ausführen. Dadurch sollte der Traffic wiederhergestellt werden.
Betriebssystem
1.16, 1.28.0-1.28.200
Kubelet ist mit Logs überflutet, die darauf hinweisen, dass „/etc/kubernetes/manifests“ auf den Worker-Knoten nicht vorhanden ist.
„staticPodPath“ wurde fälschlicherweise für Worker-Knoten festgelegt
Workaround:
Erstellen Sie den Ordner „/etc/kubernetes/manifests“ manuell
Wenn Sie weitere Unterstützung benötigen, wenden Sie sich an den Cloud Customer Care.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2024-12-20 (UTC)."],[],[]]
