Problemas conocidos de Google Distributed Cloud (solo software) para VMware

El Ingress empaquetado no es compatible con los recursos gateway.networking.k8s.io.

Los pods de Istiod de la entrada agrupada no pueden estar listos si los recursos de gateway.networking.k8s.io están instalados en el clúster de usuario. El siguiente mensaje de error de ejemplo se puede encontrar en los registros del pod:

    failed to list *v1beta1.Gateway: gateways.gateway.networking.k8s.io is forbidden: User \"system:serviceaccount:gke-system:istiod-service-account\" cannot list resource \"gateways\" in API group \"gateway.networking.k8s.io\" at the cluster scope"
    

Solución alternativa:

Aplica el siguiente ClusterRole y ClusterRoleBinding a tu clúster de usuarios:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: istiod-gateway
rules:
- apiGroups:
  - 'gateway.networking.k8s.io'
  resources:
  - '*'
  verbs:
  - get
  - list
  - watch
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: istiod-gateway-binding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: istiod-gateway
subjects:
- kind: ServiceAccount
  name: istiod-service-account
  namespace: gke-system
    

Los nodos del plano de control del clúster de administrador se reinician de forma continua después de ejecutar gkectl create admin.

Si los nombres de host en el campo ipblocks contienen letras mayúsculas, es posible que los nodos del plano de control del clúster de administrador se reinicien una y otra vez.

Solución alternativa:

Usa solo nombres de host en minúscula.

“Error” de Runtime: out of memory después de ejecutar gkeadm create o upgrade

Cuando crees o actualices estaciones de trabajo de administrador con comandos gkeadm, es posible que recibas un error de OOM cuando verifiques la imagen del SO descargada.

Por ejemplo:

Downloading OS image
"gs://gke-on-prem-release/admin-appliance/1.30.400-gke.133/gke-on-prem-admin-appliance-vsphere-1.30.400-gke.133.ova"...

[==================================================>] 10.7GB/10.7GB

Image saved to
/anthos/gke-on-prem-admin-appliance-vsphere-1.30.400-gke.133.ova

Verifying image gke-on-prem-admin-appliance-vsphere-1.30.400-gke.133.ova...
|

runtime: out of memory

Solución alternativa:

La actualización del clúster de administrador sin alta disponibilidad se detuvo en Creating or updating cluster control plane workloads

Cuando se actualiza un clúster de administrador sin HA, es posible que la actualización se detenga en Creating or updating cluster control plane workloads.

Este problema ocurre si, en la VM principal del administrador, ip a | grep cali muestra un resultado no vacío.

Por ejemplo:

ubuntu@abf8a975479b-qual-342-0afd1d9c ~ $ ip a | grep cali
4: cali2251589245f@if3:  mtu 1500 qdisc noqueue state UP group default

Solución alternativa:

1. Repara el administrador principal:

   gkectl repair admin-master --kubeconfig=ADMIN_KUBECONFIG \
       --config=ADMIN_CONFIG_FILE \
       --skip-validation
   

2. Selecciona la plantilla de VM 1.30 si ves una instrucción como la siguiente:

   Please select the control plane VM template to be used for re-creating the
   admin cluster's control plane VM.
   

3. Reanuda la actualización:

   gkectl upgrade admin --kubeconfig ADMIN_KUBECONFIG \
       --config ADMIN_CONFIG_FILE
   

Campo isControlPlane redundante en el archivo de configuración del clúster en network.controlPlaneIPBlock

Los archivos de configuración del clúster que genera gkectl create-config en 1.31.0 contienen un campo isControlPlane redundante en network.controlPlaneIPBlock:

    controlPlaneIPBlock:
    netmask: ""
    gateway: ""
    ips:
    - ip: ""
      hostname: ""
      isControlPlane: false
    - ip: ""
      hostname: ""
      isControlPlane: false
    - ip: ""
      hostname: ""
      isControlPlane: false
    

Este campo no es necesario y se puede quitar de forma segura del archivo de configuración.

Los nodos de complementos de administrador se quedan en NotReady durante la migración de un clúster de administrador sin alta disponibilidad a uno con alta disponibilidad

Cuando se migra un clúster de administrador que no es de alta disponibilidad y que usa MetalLB a HA, es posible que los nodos de complementos del administrador se bloqueen en un estado NotReady, lo que impide que se complete la migración.

Este problema solo afecta a los clústeres de administrador configurados con MetalLB, en los que no está habilitada la reparación automática.

Este problema se debe a una condición de carrera durante la migración en la que los amplificadores de MetalLB todavía usan el secreto metallb-memberlist anterior. Como resultado de la condición de carrera, la VIP del plano de control anterior se vuelve inaccesible, lo que hace que la migración se detenga.

Solución alternativa:

1. Borra el secreto metallb-memberlist existente:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n kube-system \
       delete secret metallb-memberlist
   

2. Reinicia la implementación de metallb-controller para que pueda generar el nuevo metallb-memberlist:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n kube-system \
       rollout restart deployment metallb-controller
   

3. Asegúrate de que se genere el nuevo metallb-memberlist:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n kube-system \
       get secret metallb-memberlist
   

4. Actualiza updateStrategy.rollingUpdate.maxUnavailable en el DaemonSet metallb-speaker de 1 a 100%.

   Este paso es obligatorio, ya que ciertos pods de DaemonSet se ejecutan en los nodos NotReady.

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n kube-system \
       edit daemonset metallb-speaker
   

5. Reinicia el DaemonSet metallb-speaker para que pueda detectar la nueva lista de miembros:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n kube-system \
       rollout restart daemonset metallb-speaker
   

   Después de unos minutos, los nodos del complemento del administrador vuelven a ser Ready y la migración puede continuar.

6. Si el comando gkectl inicial se agotó después de más de 3 horas, vuelve a ejecutar gkectl update para reanudar la migración fallida.

La copia de seguridad del clúster para el clúster de administrador que no es de alta disponibilidad falla debido a nombres largos de almacén de datos y disco de datos.

Cuando se intenta crear una copia de seguridad de un clúster de administrador que no tiene HA, la copia de seguridad falla debido a que la longitud combinada de los nombres de los datos y el almacenamiento supera la longitud máxima de caracteres.

La longitud máxima de caracteres para un nombre de almacén de datos es de 80.
La ruta de copia de seguridad de un clúster de administrador que no es de alta disponibilidad tiene la sintaxis de nombres "__". Por lo tanto, si el nombre concatenado supera la longitud máxima, no se podrá crear la carpeta de copia de seguridad.

Solución alternativa:

Cambia el nombre del almacén de datos o del disco de datos a uno más corto.
Asegúrate de que la longitud combinada de los nombres del almacén de datos y del disco de datos no supere la longitud máxima de caracteres.

El nodo del plano de control del administrador de alta disponibilidad muestra una versión anterior después de ejecutar gkectl repair admin-master.

Después de ejecutar el comando gkectl repair admin-master, es posible que un nodo del plano de control del administrador muestre una versión anterior a la esperada.

Este problema se produce porque la plantilla de VM con copia de seguridad que se usa para la reparación del nodo del plano de control del administrador de HA no se actualiza en vCenter después de una actualización, ya que la plantilla de VM de copia de seguridad no se clonó durante la creación de la máquina si el nombre de la máquina no cambia.

Solución alternativa:

1. Obtén el nombre de la máquina que usa la versión anterior de Kubernetes:

       kubectl get machine -o wide --kubeconfig=ADMIN_KUBECONFIG
       

2. Quita la anotación onprem.cluster.gke.io/prevented-deletion:

       kubectl edit machine MACHINE_NAME --kubeconfig=ADMIN_KUBECONFIG
       

   Guarda la edición.

3. Ejecuta el siguiente comando para borrar la máquina:

       kubectl delete machine MACHINE_NAME --kubeconfig=ADMIN_KUBECONFIG
       

   Se creará una máquina nueva con la versión correcta.

Terraform quita campos vCenter de forma inesperada

Cuando se actualiza un clúster de usuarios o un grupo de nodos con Terraform, es posible que Terraform intente establecer los campos vCenter en valores vacíos.

Este problema puede ocurrir si el clúster no se creó originalmente con Terraform.

Solución alternativa:

Para evitar la actualización inesperada, asegúrate de que sea segura antes de ejecutar terraform apply, como se describe a continuación:

1. Ejecuta terraform plan
2. En el resultado, verifica si los campos vCenter están configurados como nil.
3. Si algún campo vCenter se establece en un valor vacío, en la configuración de Terraform, agrega vcenter a la lista ignore_changes siguiendo la documentación de Terraform. Esto evita que se actualicen estos campos.
4. Vuelve a ejecutar terraform plan y verifica el resultado para confirmar que la actualización sea como se espera.

Los nodos del plano de control del clúster de usuario siempre se reinician durante la primera operación de actualización del clúster de administrador.

Después de que se creen, actualicen o se actualicen los nodos del plano de control de los clústeres de usuario de kubeception, se reiniciarán uno por uno durante la primera operación del clúster de administrador cuando se cree o se actualice a una de las versiones afectadas. En el caso de los clústeres de kubeception con 3 nodos del plano de control, esto no debería generar un tiempo de inactividad del plano de control, y el único impacto es que la operación del clúster de administrador demora más.

Errores al crear recursos personalizados

En la versión 1.31 de Google Distributed Cloud, es posible que obtengas errores cuando intentes crear recursos personalizados, como clústeres (todos los tipos) y cargas de trabajo. El problema se debe a un cambio drástico que se introdujo en Kubernetes 1.31 que impide que el campo caBundle en una definición de recursos personalizados pase de un estado válido a uno no válido. Para obtener más información sobre el cambio, consulta el registro de cambios de Kubernetes 1.31.

Antes de Kubernetes 1.31, el campo caBundle a menudo se establecía en un valor provisional de \n, ya que, en versiones anteriores de Kubernetes, el servidor de la API no permitía contenido de paquete de AC vacío. Usar \n era una solución alternativa razonable para evitar confusiones, ya que cert-manager suele actualizar caBundle más adelante.

Si el caBundle se corrigió una vez de un estado no válido a uno válido, no debería haber problemas. Sin embargo, si la definición del recurso personalizado se reconcilia con \n (o con otro valor no válido), es posible que se muestre el siguiente error:

...Invalid value: []byte{0x5c, 0x6e}: unable to load root certificates: unable to parse bytes as PEM block]

Solución alternativa

Si tienes una definición de recursos personalizados en la que caBundle está configurado en un valor no válido, puedes quitar el campo caBundle por completo de forma segura. Esto debería resolver el problema.

cloud-init status siempre muestra un error

Cuando se actualiza un clúster que usa la imagen del SO de Container Optimized OS (COS) a la versión 1.31, el comando cloud-init status falla, aunque cloud-init finalizó sin errores.

Solución alternativa:

Ejecuta el siguiente comando para verificar el estado de cloud-init:

    systemctl show -p Result cloud-final.service
    

Si el resultado es similar al siguiente, significa que cloud-init finalizó correctamente:

    Result=success
    

La verificación previa de la estación de trabajo del administrador falla cuando se actualiza a la versión 1.28 con un tamaño de disco inferior a 100 GB.

Cuando se actualiza un clúster a la versión 1.28, el comando gkectl prepare falla cuando se ejecutan las verificaciones previas al vuelo de la estación de trabajo de administrador si el tamaño del disco de la estación de trabajo de administrador es inferior a 100 GB. En este caso, el comando muestra un mensaje de error similar al siguiente:

    Workstation Hardware: Workstation hardware requirements are not satisfied
    

En la versión 1.28, el requisito previo de tamaño de disco de la estación de trabajo del administrador aumentó de 50 GB a 100 GB.

Solución alternativa:

1. Revierte la estación de trabajo de administrador.
2. Actualiza el archivo de configuración de la estación de trabajo de administrador para aumentar el tamaño del disco a, al menos, 100 GB.
3. Actualiza la estación de trabajo del administrador.

gkectl muestra un error falso en netapp storageclass.

El comando gkectl upgrade muestra un error incorrecto sobre el almacenamiento de NetApp. El mensaje de error es similar al siguiente:

    detected unsupported drivers:
      csi.trident.netapp.io
    

Solución alternativa:

Ejecuta gkectl upgrade con la marca `--skip-pre-upgrade-checks`.

La comprobación previa falla cuando se inhabilita la entrada agrupada.

Cuando inhabilitas el ingreso agrupado quitando el campo loadBalancer.vips.ingressVIP del archivo de configuración del clúster, un error en la verificación previa al vuelo de MetalLB hace que la actualización del clúster falle con el mensaje de error "invalid user ingress vip: invalid IP".

Solución alternativa:

Debes ignorar este mensaje de error.
Omite la verificación previa al vuelo con uno de los siguientes métodos:

• Agrega la marca --skip-validation-load-balancer al comando gkectl update cluster.
• Anota el objeto onpremusercluster con onprem.cluster.gke.io/server-side-preflight-skip: skip-validation-load-balancer.
.

La actualización del clúster falla debido a que falta la regla del grupo antiafinidad en vCenter.

Durante una actualización de clúster, es posible que los objetos de máquina se bloqueen en la fase "Creando" y no se vinculen a los objetos de nodo debido a que falta una regla de grupo antiafinidad (AAG) en vCenter.

Si describes los objetos de máquinas problemáticos, puedes ver mensajes recurrentes, como “Se completó la tarea de reconfiguración de la regla de DRS “task-xxxx”.

    kubectl --kubeconfig KUBECONFIG describe machine MACHINE_OBJECT_NAME
    

Solución alternativa:

Inhabilita el parámetro de configuración del grupo de antiafinidad en la configuración del clúster de administrador y en la configuración del clúster de usuario, y activa el comando de actualización forzosa para desbloquear la actualización del clúster:

    gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig ADMIN_CLUSTER_KUBECONFIG --force
    

    gkectl update cluster --config USER_CLUSTER_CONFIG_FILE --kubeconfig USER_CLUSTER_KUBECONFIG --force
    

La migración de un clúster de usuario a Controlplane V2 falla si alguna vez se habilitó la encriptación de secretos.

Cuando se migra un clúster de usuarios a Controlplane V2, si se habilitó la encriptación de secretos siempre activa, el proceso de migración no controla correctamente la clave de encriptación de secretos. Debido a este problema, el nuevo clúster de ControlPlane V2 no puede desencriptar los secretos. Si el resultado del siguiente comando no está vacío, significa que la encriptación de Secrets siempre activa se habilitó en algún momento y que el clúster se ve afectado por este problema:

    kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
      get onpremusercluster USER_CLUSTER_NAME \
      -n USER_CLUSTER_NAME-gke-onprem-mgmt \
      -o jsonpath={.spec.secretsEncryption}
    

Si ya iniciaste la migración y esta falla, comunícate con Google para obtener asistencia. De lo contrario, antes de la migración, inhabilita la encriptación de secretos siempre activa y desencripta los secretos.

La migración de un clúster de administrador de no HA a HA falla si la encriptación de secretos está habilitada.

Si el clúster de administrador habilitó la encriptación de secretos siempre activa en la versión 1.14 o anterior, y actualizó desde las versiones anteriores a las versiones afectadas 1.29 y 1.30, cuando se migra el clúster de administrador de no HA a HA, el proceso de migración no controla correctamente la clave de encriptación de secretos. Debido a este problema, el nuevo clúster de administrador de HA no puede desencriptar secretos.

Para verificar si el clúster podría estar usando la clave con formato anterior, haz lo siguiente:

    kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG get secret -n kube-system admin-master-component-options -o jsonpath='{.data.data}' | base64 -d | grep -oP '"GeneratedKeys":\[.*?\]'
    

Si el resultado muestra la clave vacía como la siguiente, significa que el clúster se verá afectado por este problema:

    "GeneratedKeys":[{"KeyVersion":"1","Key":""}]
    

Si ya iniciaste la migración y esta falla, comunícate con Google para obtener asistencia.

De lo contrario, antes de iniciar la migración, rota la clave de encriptación.

credential.yaml se volvió a generar de forma incorrecta durante la actualización de la estación de trabajo del administrador.

Cuando se actualiza la estación de trabajo de administrador con el comando gkeadm upgrade admin-workstation, el archivo credential.yaml se vuelve a generar de forma incorrecta. Los campos de nombre de usuario y contraseña están vacíos. Además, la clave privateRegistry contiene un error tipográfico.

La misma falta de ortografía de la clave privateRegistry también está en el archivo admin-cluster.yaml.
Dado que el archivo credential.yaml se vuelve a generar durante el proceso de actualización del clúster de administrador, el error tipográfico está presente incluso si lo corregiste anteriormente.

Solución alternativa:

• Actualiza el nombre de la clave de registro privada en credential.yaml para que coincida con el privateRegistry.credentials.fileRef.entry en admin-cluster.yaml.
• Actualiza el nombre de usuario y la contraseña del registro privado en credential.yaml.

La actualización del clúster de usuario falla debido al tiempo de espera de conciliación previo a la actualización

Cuando se actualiza un clúster de usuario, la operación de conciliación previa a la actualización puede tardar más que el tiempo de espera definido, lo que genera un error de actualización. El mensaje de error es similar al siguiente:

Failed to reconcile the user cluster before upgrade: the pre-upgrade reconcile failed, error message:
failed to wait for reconcile to complete: error: timed out waiting for the condition,
message: Cluster reconcile hasn't finished yet, please fix that before
rerun the upgrade.

El tiempo de espera para la operación de conciliación previa a la actualización es de 5 minutos más 1 minuto por grupo de nodos en el clúster de usuario.

Solución alternativa:

Asegúrate de que el comando gkectl diagnose cluster se apruebe sin errores.
Para omitir la operación de conciliación previa a la actualización, agrega la marca --skip-reconcile-before-preflight al comando gkectl upgrade cluster. Por ejemplo:

gkectl upgrade cluster --skip-reconcile-before-preflight --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
--config USER_CLUSTER_CONFIG_FILE

La actualización de DataplaneV2 ForwardMode no activa automáticamente el reinicio del DaemonSet de anetd.

Cuando actualizas el campo dataplaneV2.forwardMode del clúster de usuarios con gkectl update cluster, el cambio solo se actualiza en el ConfigMap. El DaemonSet anetd no detectará el cambio de configuración hasta que se reinicie y no se aplicarán tus cambios.

Solución alternativa:

Cuando se complete el comando gkectl update cluster, verás el resultado de Done updating the user cluster. Después de ver ese mensaje, ejecuta el siguiente comando para reiniciar el DaemonSet de anetd y detectar el cambio de configuración:

kubectl --kubeconfig USER_CLUSTER_KUBECONFIG rollout restart daemonset anetd

Verifica la preparación del DaemonSet después del reinicio:

kubectl --kubeconfig USER_CLUSTER_KUBECONFIG get daemonset anetd

En el resultado del comando anterior, verifica que el número de la columna DESIRED coincida con el número de la columna READY.

No se encontró el comando etcdctl durante la actualización del clúster en la etapa de copia de seguridad del clúster de administrador.

Durante una actualización de un clúster de usuario de la versión 1.16 a la 1.28, se crea una copia de seguridad del clúster de administrador. El proceso de copia de seguridad del clúster de administrador muestra el mensaje de error “etcdctl: command not found”. La actualización del clúster de usuario se realiza correctamente y el clúster de administrador permanece en buen estado. El único problema es que no se crea una copia de seguridad del archivo de metadatos del clúster de administrador.

La causa del problema es que el objeto binario etcdctl se agregó en la versión 1.28 y no está disponible en los nodos 1.16.

La copia de seguridad del clúster de administrador implica varios pasos, como tomar una instantánea de etcd y, luego, escribir el archivo de metadatos del clúster de administrador. La copia de seguridad de etcd aún se realiza correctamente porque etcdctl aún se puede activar después de una ejecución en el Pod de etcd. Sin embargo, la escritura del archivo de metadatos falla, ya que aún depende de que el objeto binario etcdctl se instale en el nodo. Sin embargo, la copia de seguridad del archivo de metadatos no es un bloqueador para crear una copia de seguridad, por lo que el proceso de copia de seguridad se realiza correctamente, al igual que la actualización del clúster de usuarios.

Solución alternativa:

Si deseas crear una copia de seguridad del archivo de metadatos, sigue las instrucciones de Crea una copia de seguridad de un clúster de administrador y restablécelo con gkectl para activar una copia de seguridad independiente del clúster de administrador con la versión de gkectl que coincida con la versión de tu clúster de administrador.

Falla de creación del clúster de usuario con balanceo de cargas manual

Cuando se crea un clúster de usuario configurado para el balanceo de cargas manual, se produce una falla de gkectl check-config que indica que el valor de ingressHTTPNodePort debe ser de al menos 30,000, incluso cuando se inhabilita el Ingress agrupado.

Este problema se produce independientemente de si los campos ingressHTTPNodePort y ingressHTTPSNodePort están configurados o se dejan en blanco.

Solución alternativa:

Para solucionar este problema, ignora el resultado que muestra gkectl check-config. Para inhabilitar el Ingress agrupado, consulta Inhabilita el Ingress agrupado.

Después de migrar un clúster de usuario a Controlplane V2, es posible que el PDB de metrics-server del clúster de administrador se configure de forma incorrecta.

El problema con PodDisruptionBudget (PDB) ocurre cuando se usan clústeres de administrador de alta disponibilidad (HA) y hay 0 o 1 nodos de clúster de administrador sin un rol después de la migración. Para verificar si hay objetos de nodos sin un rol, ejecuta el siguiente comando:

kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG get nodes -o wide

Si hay dos o más objetos de nodo sin un rol después de la migración, el PDB no está mal configurado.

Síntomas:

El resultado de admin cluster diagnose incluye la siguiente información:

Checking all poddisruptionbudgets...FAILURE
  Reason: 1 pod disruption budget error(s).
  Unhealthy Resources:
  PodDisruptionBudget metrics-server: gke-managed-metrics-server/metrics-server might be configured incorrectly: the total replicas(1) should be larger than spec.MinAvailable(1).

Solución alternativa:

Ejecuta el siguiente comando para borrar el PDB:

kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG delete pdb metrics-server -n gke-managed-metrics-server

El libro electrónico de Autorización binaria bloquea el inicio del complemento CNI, lo que causa que no se inicie uno de los grupos de nodos.

En condiciones de carrera excepcionales, una secuencia de instalación incorrecta del webhook de la autorización binaria y el pod gke-connect puede provocar que la creación del clúster de usuarios se detenga debido a que un nodo no alcanza un estado listo. En los casos afectados, la creación de clústeres de usuarios puede detenerse debido a que un nodo no alcanza un estado listo. Si esto ocurre, se mostrará el siguiente mensaje:

     Node pool is not ready: ready condition is not true: CreateOrUpdateNodePool: 2/3 replicas are ready
    

Solución alternativa:

1. Quita la configuración de la autorización binaria de tu archivo de configuración. Para obtener instrucciones de configuración, consulta la guía de instalación del día 2 de la Autorización binaria para GKE en VMware.
2. Para desbloquear un nodo no en buen estado durante el proceso de creación de clúster actual, quita temporalmente la configuración del webhook de Autorización binaria en el clúster de usuario con el siguiente comando.

           kubectl --kubeconfig USER_KUBECONFIG delete ValidatingWebhookConfiguration binauthz-validating-webhook-configuration
           

   Una vez que se complete el proceso de inicio, puedes volver a agregar la siguiente configuración de webhook.

   apiVersion: admissionregistration.k8s.io/v1
   kind: ValidatingWebhookConfiguration
   metadata:
     name: binauthz-validating-webhook-configuration
   webhooks:
   - name: "binaryauthorization.googleapis.com"
     namespaceSelector:
       matchExpressions:
       - key: control-plane
         operator: DoesNotExist
     objectSelector:
       matchExpressions:
       - key: "image-policy.k8s.io/break-glass"
         operator: NotIn
         values: ["true"]
     rules:
     - apiGroups:
       - ""
       apiVersions:
       - v1
       operations:
       - CREATE
       - UPDATE
       resources:
       - pods
       - pods/ephemeralcontainers
     admissionReviewVersions:
     - "v1beta1"
     clientConfig:
       service:
         name: binauthz
         namespace: binauthz-system
         path: /binauthz
       # CA Bundle will be updated by the cert rotator.
       caBundle: Cg==
     timeoutSeconds: 10
     # Fail Open
     failurePolicy: "Ignore"
     sideEffects: None
           

La actualización del clúster de usuario de CPV2 se bloqueó debido a una máquina reflejada con deletionTimestamp.

Durante una actualización del clúster de usuario, es posible que la operación de actualización se bloquee si el objeto de máquina reflejado en el clúster de usuario contiene un deletionTimestamp. Se muestra el siguiente mensaje de error si la actualización está bloqueada:

    machine is still in the process of being drained and subsequently removed
    

Este problema puede ocurrir si anteriormente intentaste reparar el nodo del plano de control del usuario ejecutando gkectl delete machine en la máquina reflejada en el clúster de usuarios.

Solución alternativa:

1. Obtén el objeto de máquina reflejado y guárdalo en un archivo local para crear una copia de seguridad.
2. Ejecuta el siguiente comando para borrar el finalizador de la máquina reflejada y espera a que se borre del clúster de usuarios.

       kubectl --kubeconfig ADMIN_KUBECONFIG patch machine/MACHINE_OBJECT_NAME -n USER_CLUSTER_NAME-gke-onprem-mgmt -p '{"metadata":{"finalizers":[]}}' --type=merge

3. Sigue los pasos que se indican en Nodo del plano de control del clúster de usuarios de Controlplane V2 para activar la reparación de nodos en los nodos del plano de control, de modo que se vuelva a sincronizar la especificación correcta de la máquina de origen en el clúster de usuarios.
4. Vuelve a ejecutar gkectl upgrade cluster para reanudar la actualización.

Falla en la creación del clúster debido a un VIP del plano de control en una subred diferente

En el caso del clúster de administrador de alta disponibilidad o del clúster de usuario de ControlPlane V2, la VIP del plano de control debe estar en la misma subred que los otros nodos del clúster. De lo contrario, la creación del clúster falla porque kubelet no puede comunicarse con el servidor de la API con la VIP del plano de control.

Solución alternativa:

Antes de crear el clúster, asegúrate de que la VIP del plano de control esté configurada en la misma subred que los otros nodos del clúster.

Error de creación o actualización del clúster debido a un nombre de usuario de vCenter que no es FQDN

La creación o actualización del clúster falla con un error en los pods de CSI de vSphere que indica que el nombre de usuario de vCenter no es válido. Esto ocurre porque el nombre de usuario que se usó no es un nombre de dominio completamente calificado. Mensaje de error en el pod vsphere-csi-controller como el siguiente:

    GetCnsconfig failed with err: username is invalid, make sure it is a fully qualified domain username
    

Este problema solo ocurre en la versión 1.29 y versiones posteriores, ya que se agregó una validación al controlador de CSI de vSphere para aplicar el uso de nombres de usuario de dominio completamente calificados.

Solución alternativa:

Usa un nombre de dominio completamente calificado para el nombre de usuario de vCenter en el archivo de configuración de credenciales. Por ejemplo, en lugar de usar "nombredeusuario1", usa "nombredeusuario1@example.com".

La actualización del clúster de administrador falla en los clústeres creados en las versiones 1.10 o anteriores.

Cuando se actualiza un clúster de administrador de la versión 1.16 a la 1.28, es posible que el inicio de la nueva máquina maestra de administrador no genere el certificado del plano de control. El problema se debe a cambios en la forma en que se generan los certificados para el servidor de la API de Kubernetes en la versión 1.28 y versiones posteriores. El problema se reproduce en los clústeres creados en las versiones 1.10 y anteriores que se actualizaron a la versión 1.16 y el certificado de entidad final no se rotó antes de la actualización.

Para determinar si el error de actualización del clúster de administrador se debe a este problema, sigue estos pasos:

1. Conéctate a la máquina principal de administrador con SSH.
2. Abre /var/log/startup.log y busca un error como el siguiente:

Error adding extensions from section apiserver_ext
801B3213B57F0000:error:1100007B:X509 V3 routines:v2i_AUTHORITY_KEYID:unable to get issuer keyid:../crypto/x509/v3_akid.c:177:
801B3213B57F0000:error:11000080:X509 V3 routines:X509V3_EXT_nconf_int:error in extension:../crypto/x509/v3_conf.c:48:section=apiserver_ext, name=authorityKeyIdentifier, value=keyid>
   

Solución alternativa:

1. Conéctate a la máquina principal del administrador con SSH. Para obtener más información, consulta Usa SSH para conectarte a un nodo del clúster de administración.
2. Crea una copia /etc/startup/pki-yaml.sh y asígnale el nombre /etc/startup/pki-yaml-copy.sh.
3. Editar /etc/startup/pki-yaml-copy.sh. Busca authorityKeyIdentifier=keyidset y cámbialo a authorityKeyIdentifier=keyid,issuer en las secciones de las siguientes extensiones: apiserver_ext, client_ext, etcd_server_ext y kubelet_server_ext. Por ejemplo:

         [ apiserver_ext ]
         keyUsage = critical, digitalSignature, keyEncipherment
         extendedKeyUsage=serverAuth
         basicConstraints = critical,CA:false
         authorityKeyIdentifier = keyid,issuer
         subjectAltName = @apiserver_alt_names
   

4. Guarda los cambios en /etc/startup/pki-yaml-copy.sh.
5. Con un editor de texto, abre /opt/bin/master.sh, busca y reemplaza todas las instancias de /etc/startup/pki-yaml.sh por /etc/startup/pki-yaml-copy.sh y, luego, guarda los cambios.
6. Ejecuta /opt/bin/master.sh para generar el certificado y completar el inicio de la máquina.
7. Vuelve a ejecutar gkectl upgrade admin para actualizar el clúster de administrador.
8. Después de que se complete la actualización, rota el certificado final para los clústeres de administrador y de usuario, como se describe en Inicia la rotación.
9. Una vez que se complete la rotación de certificados, realiza las mismas modificaciones en /etc/startup/pki-yaml-copy.sh que hiciste anteriormente y ejecuta /opt/bin/master.sh.

Mensaje de advertencia incorrecto para los clústeres con Dataplane V2 habilitado

Cuando ejecutas gkectl para crear, actualizar o actualizar un clúster que ya tiene habilitado Dataplane V2, se muestra el siguiente mensaje de advertencia incorrecto:

WARNING: Your user cluster is currently running our original architecture with
[DataPlaneV1(calico)]. To enable new and advanced features we strongly recommend
to update it to the newer architecture with [DataPlaneV2] once our migration
tool is available.

Hay un error en gkectl que hace que siempre muestre esta advertencia, siempre que no se use dataplaneV2.forwardMode, incluso si ya configuraste enableDataplaneV2: true en el archivo de configuración del clúster.

Solución alternativa:

Puedes ignorar esta advertencia.

La verificación previa de la instalación del clúster de administrador de HA informa una cantidad incorrecta de IP estáticas requeridas.

Cuando creas un clúster de administrador de alta disponibilidad, la verificación previa muestra el siguiente mensaje de error incorrecto:

- Validation Category: Network Configuration
    - [FAILURE] CIDR, VIP and static IP (availability and overlapping): needed
    at least X+1 IP addresses for admin cluster with X nodes

El requisito es incorrecto para los clústeres de administrador de HA 1.28 y versiones posteriores, ya que ya no tienen nodos de complementos. Además, como las 3 IPs de los nodos del plano de control del clúster de administrador se especifican en la sección network.controlPlaneIPBlock del archivo de configuración del clúster de administrador, las IPs del archivo de bloque de IP solo son necesarias para los nodos del plano de control del clúster de usuario de kubeception.

Solución alternativa:

Para omitir la verificación previa incorrecta en una versión no corregida, agrega --skip-validation-net-config al comando gkectl.

El agente de Connect pierde la conexión con Google Cloud después de migrar un clúster de administrador sin alta disponibilidad a uno con alta disponibilidad

Si migraste de un clúster de administrador sin HA a un clúster de administrador con HA, el agente de Connect en el clúster de administrador pierde la conexión con gkeconnect.googleapis.com con el error "No se pudo verificar la firma de JWT". Esto se debe a que, durante la migración, se cambia la clave de firma de KSA, por lo que se necesita un nuevo registro para actualizar los JWK de OIDC.

Solución alternativa:

Para volver a conectar el clúster de administrador a Google Cloud, sigue estos pasos para activar un nuevo registro:

Primero, obtén el nombre de la implementación de gke-connect:

kubectl --kubeconfig KUBECONFIG get deployment -n gke-connect

Borra la implementación gke-connect:

kubectl --kubeconfig KUBECONFIG delete deployment GKE_CONNECT_DEPLOYMENT -n gke-connect

Activa una conciliación forzada para el onprem-admin-cluster-controller. Para ello, agrega una anotación "force-reconcile" a tu CR de onpremadmincluster:

kubectl --kubeconfig KUBECONFIG patch onpremadmincluster ADMIN_CLUSTER_NAME -n kube-system --type merge -p '
metadata:
  annotations:
    onprem.cluster.gke.io/force-reconcile: "true"
'

La idea es que onprem-admin-cluster-controller siempre vuelva a implementar la implementación de gke-connect y vuelva a registrar el clúster si no encuentra una implementación de gke-connect existente disponible.

Después de la solución alternativa (es posible que el controlador tarde unos minutos en completar la conciliación), puedes verificar que el error 400 "No se pudo verificar la firma del JWT" ya no aparezca en los registros de gke-connect-agent:

kubectl --kubeconfig KUBECONFIG logs GKE_CONNECT_POD_NAME -n gke-connect

La IP del puente Docker usa 172.17.0.1/16 para los nodos del plano de control del clúster de COS.

Google Distributed Cloud especifica una subred dedicada, --bip=169.254.123.1/24, para la IP del puente de Docker en la configuración de Docker para evitar reservar la subred 172.17.0.1/16 predeterminada. Sin embargo, en las versiones 1.28.0-1.28.500 y 1.29.0, el servicio de Docker no se reiniciaba después de que Google Distributed Cloud personalizaba la configuración de Docker debido a una regresión en la imagen del SO COS. Como resultado, Docker elige el 172.17.0.1/16 predeterminado como su subred de dirección IP de puente. Esto podría causar un conflicto de dirección IP si ya tienes una carga de trabajo en ejecución dentro de ese rango de direcciones IP.

Solución alternativa:

Para solucionar este problema, debes reiniciar el servicio de Docker:

sudo systemctl restart docker

Verifica que Docker elija la dirección IP del puente correcta:

ip a | grep docker0

Esta solución no persiste en las recreaciones de VM. Debes volver a aplicar esta solución alternativa cada vez que se vuelvan a crear VMs.

No funciona usar varias interfaces de red con CNI estándar.

Los objetos binarios CNI estándar bridge, ipvlan, vlan, macvlan, dhcp, tuning, host-local, ptp, portmap no se incluyen en las imágenes del SO de las versiones afectadas. El plano de datos v2 no usa estos objetos binarios de CNI, pero se pueden usar para interfaces de red adicionales en la función de varias interfaces de red.

La interfaz de red múltiple con estos complementos de CNI no funcionará.

Solución alternativa:

Actualiza a la versión con la corrección si usas esta función.

Las dependencias de Trident de Netapp interfieren con el controlador de CSI de vSphere.

La instalación de multipathd en los nodos del clúster interfiere con el controlador de CSI de vSphere, lo que hace que las cargas de trabajo del usuario no se puedan iniciar.

Solución alternativa:

• Inhabilitar multipathd

Es posible que el webhook del clúster de administrador bloquee las actualizaciones cuando agregues las configuraciones requeridas.

Si algunas configuraciones obligatorias están vacías en el clúster de administrador porque se omitieron las validaciones, es posible que el webhook del clúster de administrador bloquee su adición. Por ejemplo, si el campo gkeConnect no se configuró en un clúster de administrador existente, agregarlo con el comando gkectl update admin podría generar el siguiente mensaje de error:

admission webhook "vonpremadmincluster.onprem.cluster.gke.io" denied the request: connect: Required value: GKE connect is required for user clusters

Solución alternativa:

• Para los clústeres de administrador de 1.15, ejecuta el comando gkectl update admin con la marca --disable-admin-cluster-webhook. Por ejemplo:

          gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig ADMIN_CLUSTER_KUBECONFIG --disable-admin-cluster-webhook
          

• Para los clústeres de administrador 1.16, ejecuta los comandos gkectl update admin con la marca --force. Por ejemplo:

          gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig ADMIN_CLUSTER_KUBECONFIG --force
          

El campo controlPlaneNodePort se establece de forma predeterminada en 30968 cuando la especificación de manualLB está vacía.

Si usarás un balanceador de cargas manual (loadBalancer.kind está configurado como "ManualLB"), no deberías necesitar configurar la sección loadBalancer.manualLB en el archivo de configuración para un clúster de administrador de alta disponibilidad (HA) en las versiones 1.16 y posteriores. Sin embargo, cuando esta sección está vacía, Google Distributed Cloud asigna valores predeterminados a todos los NodePorts, incluido manualLB.controlPlaneNodePort, lo que hace que la creación del clúster falle con el siguiente mensaje de error:

- Validation Category: Manual LB
  - [FAILURE] NodePort configuration: manualLB.controlPlaneNodePort must
   not be set when using HA admin cluster, got: 30968

Solución alternativa:

Especifica manualLB.controlPlaneNodePort: 0 en la configuración del clúster de administrador para el clúster de administrador de HA:

loadBalancer:
  ...
  kind: ManualLB
  manualLB:
    controlPlaneNodePort: 0
  ...

Falta nfs-common en la imagen del SO de Ubuntu.

Falta nfs-common en la imagen del SO Ubuntu, lo que puede causar problemas a los clientes que usan controladores dependientes de NFS, como NetApp.

Warning FailedMount 63s (x8 over 2m28s) kubelet MountVolume.SetUp failed for volume "pvc-xxx-yyy-zzz" : rpc error: code = Internal desc = error mounting NFS volume 10.0.0.2:/trident_pvc_xxx-yyy-zzz on mountpoint /var/lib/kubelet/pods/aaa-bbb-ccc/volumes/kubernetes.io~csi/pvc-xxx-yyy-zzz/mount: exit status 32".
      

Solución alternativa:

Asegúrate de que tus nodos puedan descargar paquetes de Canonical.

A continuación, aplica el siguiente DaemonSet a tu clúster para instalar nfs-common:

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: install-nfs-common
  labels:
    name: install-nfs-common
  namespace: kube-system
spec:
  selector:
    matchLabels:
      name: install-nfs-common
  minReadySeconds: 0
  updateStrategy:
    type: RollingUpdate
    rollingUpdate:
      maxUnavailable: 100%
  template:
    metadata:
      labels:
        name: install-nfs-common
    spec:
      hostPID: true
      hostIPC: true
      hostNetwork: true
      initContainers:
      - name: install-nfs-common
        image: ubuntu
        imagePullPolicy: IfNotPresent
        securityContext:
          privileged: true
        command:
        - chroot
        - /host
        - bash
        - -c
        args:
        - |
          apt install -y nfs-common
        volumeMounts:
        - name: host
          mountPath: /host
      containers:
      - name: pause
        image: gcr.io/gke-on-prem-release/pause-amd64:3.1-gke.5
        imagePullPolicy: IfNotPresent
      volumes:
      - name: host
        hostPath:
          path: /
      

Falta el campo de política de almacenamiento en la plantilla de configuración del clúster de administrador.

SPBM en clústeres de administrador es compatible con la versión 1.28.0 y versiones posteriores. Sin embargo, falta el campo vCenter.storagePolicyName en la plantilla del archivo de configuración.

Solución alternativa:

Agrega el campo "vCenter.storagePolicyName" en el archivo de configuración del clúster de administrador si deseas configurar la política de almacenamiento para el clúster de administrador. Consulta las instrucciones.

La API de Kubernetes Metadata no es compatible con VPC-SC

La API kubernetesmetadata.googleapis.com que se agregó recientemente no es compatible con VPC-SC. Esto hará que el agente de recopilación de metadatos no pueda conectarse a esta API en VPC-SC. Posteriormente, faltarán las etiquetas de metadatos de métricas.

Solución alternativa:

Ejecuta el comando para establecer en el espacio de nombres "kube-system" el CR "stackdriver" en el campo "featureGates.disableExperimentalMetadataAgent" en "true"

"kubectl -n kube-system patch stackdriver stackdriver -p '{"spec":{"featureGates":{"disableExperimentalMetadataAgent":true}}}'"

luego, ejecuta

`kubectl -n kube-system patch deployment stackdriver-operator -p '{"spec":{"template":{"spec":{"containers":[{"name":"stackdriver-operator","env":[{"name":"ENABLE_LEGACY_METADATA_AGENT","value":"true"}]}]}}}}'`

Es posible que clusterapi-controller falle cuando el clúster de administrador y cualquier clúster de usuario con ControlPlane V2 habilitado usen credenciales de vSphere diferentes.

Cuando un clúster de administrador y cualquier clúster de usuario con ControlPlane V2 habilitado usan credenciales de vSphere diferentes, p.ej., después de actualizar las credenciales de vSphere para el clúster de administrador, es posible que clusterapi-controller no se conecte a vCenter después del reinicio. Consulta el registro de clusterapi-controller que se ejecuta en el espacio de nombres “kube-system” del clúster de administrador.

kubectl logs -f -l component=clusterapi-controllers -c vsphere-controller-manager \
    -n kube-system --kubeconfig KUBECONFIG

E1214 00:02:54.095668       1 machine_controller.go:165] Error checking existence of machine instance for machine object gke-admin-node-77f48c4f7f-s8wj2: Failed to check if machine gke-admin-node-77f48c4f7f-s8wj2 exists: failed to find datacenter "VSPHERE_DATACENTER": datacenter 'VSPHERE_DATACENTER' not found

Solución alternativa:

Actualiza las credenciales de vSphere para que el clúster de administrador y todos los clústeres de usuarios con Controlplane V2 habilitado usen las mismas credenciales de vSphere.

etcd tiene una gran cantidad de solicitudes de GRPC fallidas en el Administrador de alertas de Prometheus.

Prometheus podría informar alertas similares al siguiente ejemplo:

Alert Name: cluster:gke-admin-test1: Etcd cluster kube-system/kube-etcd: 100% of requests for Watch failed on etcd instance etcd-test-xx-n001.

Para verificar si esta alerta es un falso positivo que se puede ignorar, completa los siguientes pasos:

1. Compara la métrica grpc_server_handled_total sin procesar con la grpc_method que se proporciona en el mensaje de alerta. En este ejemplo, verifica la etiqueta grpc_code para Watch.
   
   Puedes verificar esta métrica con Cloud Monitoring con la siguiente consulta de MQL:

   fetch
       k8s_container | metric 'kubernetes.io/anthos/grpc_server_handled_total' | align rate(1m) | every 1m

2. Se puede ignorar de forma segura una alerta en todos los códigos que no sean OK si el código no es uno de los siguientes:

   Unknown|FailedPrecondition|ResourceExhausted|Internal|Unavailable|DataLoss|DeadlineExceeded

Solución alternativa:

Para configurar Prometheus de modo que ignore estas alertas falsas positivas, revisa las siguientes opciones:

1. Silencia la alerta desde la IU del Administrador de alertas.
2. Si no puedes silenciar la alerta, revisa los siguientes pasos para suprimir los falsos positivos:
   1. Reduce el operador de supervisión a 0 réplicas para que las modificaciones puedan persistir.
   2. Modifica el configmap prometheus-config y agrega grpc_method!="Watch" a la configuración de alertas etcdHighNumberOfFailedGRPCRequests como se muestra en el siguiente ejemplo:
      • Original:

        rate(grpc_server_handled_total{cluster="CLUSTER_NAME",grpc_code!="OK",job=~".*etcd.*"}[5m])

      • Modificado:

        rate(grpc_server_handled_total{cluster="CLUSTER_NAME",grpc_code=~"Unknown|FailedPrecondition|ResourceExhausted|Internal|Unavailable|DataLoss|DeadlineExceeded",grpc_method!="Watch",job=~".*etcd.*"}[5m])

        Reemplaza el siguiente CLUSTER_NAME por el nombre de tu clúster.
   3. Reinicia el Statefulset de Prometheus y Alertmanager para recoger la configuración nueva.
3. Si el código se encuentra en uno de los casos problemáticos, verifica el registro de etcd y el registro de kube-apiserver para depurar más.

Se descartan las conexiones duraderas de NAT de salida

Es posible que las conexiones de NAT de salida se descarten después de 5 a 10 minutos de establecida una conexión si no hay tráfico.

Como conntrack solo importa en la dirección entrante (conexiones externas al clúster), este problema solo ocurre si la conexión no transmite información durante un tiempo y, luego, el lado de destino transmite algo. Si el pod con NAT de salida siempre crea una instancia de los mensajes, no se verá este problema.

Este problema se produce porque la recolección de basura de anetd quita, de forma inadvertida, entradas de conntrack que el daemon considera que no se usan. Recientemente, se integró una corrección upstream en anetd para corregir el comportamiento.

Solución alternativa:

No hay una solución alternativa fácil, y no hemos visto problemas en la versión 1.16 debido a este comportamiento. Si observas que se desconectan las conexiones de larga duración debido a este problema, las soluciones serían usar una carga de trabajo en el mismo nodo que la dirección IP de salida o enviar mensajes de forma coherente en la conexión TCP.

El firmante de la CSR ignora spec.expirationSeconds cuando firma los certificados.

Si creas una CertificateSigningRequest (CSR) con expirationSeconds configurado, se ignora expirationSeconds.

Solución alternativa:

Si este problema te afecta, puedes actualizar tu clúster de usuarios. Para ello, agrega disableNodeIDVerificationCSRSigning: true al archivo de configuración del clúster de usuarios y ejecuta el comando gkectl update cluster para actualizar el clúster con esta configuración.

La validación del balanceador de cargas del clúster de usuarios falla para disable_bundled_ingress

Si intentas inhabilitar el Ingress agrupado para un clúster existente, el comando gkectl update cluster falla con un error similar al siguiente ejemplo:

[FAILURE] Config: ingress IP is required in user cluster spec

Este error se produce porque gkectl busca una dirección IP de entrada del balanceador de cargas durante las verificaciones previas al vuelo. Aunque esta verificación no es obligatoria cuando se inhabilita la entrada agrupada, la verificación previa de gkectl falla cuando disableBundledIngress se establece en true.

Solución alternativa:

Usa el parámetro --skip-validation-load-balancer cuando actualices el clúster, como se muestra en el siguiente ejemplo:

gkectl update cluster \
  --kubeconfig ADMIN_CLUSTER_KUBECONFIG --config USER_CLUSTER_CONFIG  \
  --skip-validation-load-balancer

Para obtener más información, consulta cómo inhabilitar el acceso integrado para un clúster existente.

Las actualizaciones del clúster de administrador fallan después de la rotación de la AC

Si rotas los certificados de la autoridad certificadora (AC) del clúster de administrador, los intentos posteriores de ejecutar el comando gkectl update admin fallarán. El error que se muestra es similar al siguiente:

failed to get last CARotationStage: configmaps "ca-rotation-stage" not found

Solución alternativa:

Si este problema te afecta, puedes actualizar tu clúster de administrador con la marca --disable-update-from-checkpoint y el comando gkectl update admin:

gkectl update admin --config ADMIN_CONFIG_file \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
    --disable-update-from-checkpoint

Cuando usas la marca --disable-update-from-checkpoint, el comando de actualización no usa el archivo de punto de control como fuente de información durante la actualización del clúster. El archivo de punto de control se actualiza para usarlo en el futuro.

La verificación previa al vuelo de la carga de trabajo de CSI falla debido a una falla en el inicio del pod

Durante las verificaciones previas al vuelo, la verificación de validación de cargas de trabajo de CSI instala un Pod en el espacio de nombres default. El pod de cargas de trabajo de CSI valida que el controlador de CSI de vSphere esté instalado y pueda realizar el aprovisionamiento dinámico de volúmenes. Si este pod no se inicia, fallará la verificación de validación de la carga de trabajo de CSI.

Existen algunos problemas conocidos que pueden impedir que se inicie este Pod:

• Si el Pod no tiene límites de recursos especificados, que es el caso de algunos clústeres con webhooks de admisión instalados, el Pod no se inicia.
• Si Cloud Service Mesh está instalado en el clúster con la inserción automática del archivo adicional de Istio habilitada en el espacio de nombres default, no se inicia el Pod de carga de trabajo de CSI.

Si el Pod de carga de trabajo de CSI no se inicia, verás un error de tiempo de espera como el siguiente durante las validaciones previas al vuelo:

- [FAILURE] CSI Workload: failure in CSIWorkload validation: failed to create writer Job to verify the write functionality using CSI: Job default/anthos-csi-workload-writer-<run-id> replicas are not in Succeeded phase: timed out waiting for the condition

Para ver si la falla se debe a la falta de recursos de Pod configurados, ejecuta el siguiente comando para verificar el estado del trabajo anthos-csi-workload-writer-<run-id>:

kubectl describe job anthos-csi-workload-writer-<run-id>

Si los límites de recursos no se configuran correctamente para el pod de carga de trabajo de CSI, el estado del trabajo contiene un mensaje de error como el siguiente:

CPU and memory resource limits is invalid, as it are not defined for container: volume-tester

Si el pod de carga de trabajo de CSI no se inicia debido a la inserción de sidecar de Istio, puedes inhabilitar temporalmente la inserción automática de sidecar de Istio en el espacio de nombres default. Verifica las etiquetas del espacio de nombres y usa el siguiente comando para borrar la etiqueta que comienza con istio.io/rev:

kubectl label namespace default istio.io/rev-

Si el Pod está mal configurado, verifica manualmente que el aprovisionamiento dinámico de volúmenes con el controlador de CSI de vSphere funcione:

1. Crea una PVC que use la StorageClass standard-rwo.
2. Crea un pod que use la PVC.
3. Verifica que el pod pueda leer o escribir datos en el volumen.
4. Quita el Pod y el PVC después de verificar que funcionen correctamente.

Si el aprovisionamiento de volumen dinámico con el controlador de CSI de vSphere funciona, ejecuta gkectl diagnose o gkectl upgrade con la marca --skip-validation-csi-workload para omitir la verificación de la carga de trabajo de CSI.

Tiempos de espera de actualización del clúster de usuario cuando la versión del clúster de administrador es 1.15

Cuando accedes a una estación de trabajo de administrador administrada por el usuario, es posible que el comando gkectl update cluster se agote y no actualice el clúster de usuario. Esto sucede si la versión del clúster de administrador es 1.15 y ejecutas gkectl update admin antes de ejecutar gkectl update cluster. Cuando se produce esta falla, verás el siguiente error cuando intentes actualizar el clúster:

      Preflight check failed with failed to run server-side preflight checks: server-side preflight checks failed: timed out waiting for the condition
Preflight check failed with failed to run server-side preflight checks: server-side preflight checks failed: timed out waiting for the condition
      

Durante la actualización de un clúster de administrador 1.15, se quita del clúster el validation-controller que activa las comprobaciones preliminares. Si luego intentas actualizar el clúster de usuario, la verificación previa se bloquea hasta que se alcanza el tiempo de espera.

Solución alternativa:

1. Ejecuta el siguiente comando para volver a implementar validation-controller:

         gkectl prepare --kubeconfig ADMIN_KUBECONFIG --bundle-path BUNDLE_PATH --upgrade-platform
         

2. Una vez que se complete la preparación, vuelve a ejecutar gkectl update cluster para actualizar el clúster de usuarios.

Tiempos de espera de creación de clústeres de usuarios cuando la versión del clúster de administrador es 1.15

Cuando accedes a una estación de trabajo de administrador administrada por el usuario, es posible que el comando gkectl create cluster se agote y no se cree el clúster de usuario. Esto sucede si la versión del clúster de administrador es 1.15. Cuando se produce esta falla, verás el siguiente error cuando intentes crear el clúster:

      Preflight check failed with failed to run server-side preflight checks: server-side preflight checks failed: timed out waiting for the condition
Preflight check failed with failed to run server-side preflight checks: server-side preflight checks failed: timed out waiting for the condition
      

Como se agregó validation-controller en la versión 1.16, cuando se usa el clúster de administrador 1.15, falta el validation-controller que es responsable de activar las verificaciones previas. Por lo tanto, cuando se intenta crear un clúster de usuarios, las verificaciones previas se bloquean hasta que se alcanza el tiempo de espera.

Solución alternativa:

1. Ejecuta el siguiente comando para implementar validation-controller:

         gkectl prepare --kubeconfig ADMIN_KUBECONFIG --bundle-path BUNDLE_PATH --upgrade-platform
         

2. Una vez que se complete la preparación, vuelve a ejecutar gkectl create cluster para crear el clúster de usuario.

La actualización del clúster de administrador falla si los proyectos o las ubicaciones de los servicios de complementos no coinciden.

Cuando actualizas un clúster de administrador de la versión 1.15.x a la 1.16.x, o cuando agregas una configuración de connect, stackdriver, cloudAuditLogging o gkeOnPremAPI cuando actualizas un clúster de administrador, el webhook del clúster de administrador podría rechazar la operación. Es posible que se muestre uno de los siguientes mensajes de error:

• "projects for connect, stackdriver and cloudAuditLogging must be the same when specified during cluster creation."
• "locations for connect, gkeOnPremAPI, stackdriver and cloudAuditLogging must be in the same region when specified during cluster creation."
• "locations for stackdriver and cloudAuditLogging must be the same when specified during cluster creation."

Una actualización de clúster de administrador requiere que onprem-admin-cluster-controller reconcilie el clúster de administrador en un clúster de tipo. Cuando se restablece el estado del clúster de administrador en el clúster de tipo, el webhook del clúster de administrador no puede distinguir si el objeto OnPremAdminCluster es para la creación de un clúster de administrador o para reanudar operaciones para una actualización. Algunas validaciones de solo creación se invocan cuando se actualizan y actualizan de forma inesperada.

Solución alternativa:

Agrega la anotación onprem.cluster.gke.io/skip-project-location-sameness-validation: true al objeto OnPremAdminCluster:

1. Edita el recurso del clúster onpremadminclusters:

   kubectl edit onpremadminclusters ADMIN_CLUSTER_NAME -n kube-system –kubeconfig ADMIN_CLUSTER_KUBECONFIG

   Reemplaza lo siguiente:
   • ADMIN_CLUSTER_NAME: Es el nombre del clúster de administrador.
   • ADMIN_CLUSTER_KUBECONFIG: Es la ruta del archivo kubeconfig del clúster de administrador.
2. Agrega la anotación onprem.cluster.gke.io/skip-project-location-sameness-validation: true y guarda el recurso personalizado.
3. Según el tipo de clústeres de administrador, completa uno de los siguientes pasos:
   • Para clústeres de administrador que no tienen alta disponibilidad y tienen un archivo de punto de control: Agrega el parámetro disable-update-from-checkpoint en el comando de actualización o el parámetro "disable-upgrade-from-checkpoint" en el comando de actualización. Estos parámetros solo son necesarios la próxima vez que ejecutes el comando update o upgrade:
     • gkectl update admin --config ADMIN_CONFIG_file --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
         --disable-update-from-checkpoint

     • gkectl upgrade admin --config ADMIN_CONFIG_file --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
         --disable-upgrade-from-checkpoint

   • En el caso de los clústeres de administrador de alta disponibilidad o si el archivo de punto de control está inhabilitado: Actualiza o mejora el clúster de administrador como de costumbre. No se necesitan parámetros adicionales en los comandos de actualización o actualización.

La eliminación del clúster de usuario falla cuando se usa una estación de trabajo de administrador administrada por el usuario

Cuando accedes a una estación de trabajo de administrador administrada por el usuario, es posible que el comando gkectl delete cluster se agote y no borre el clúster de usuario. Esto sucede si primero ejecutaste gkectl en la estación de trabajo administrada por el usuario para crear, actualizar o mejorar el clúster de usuario. Cuando se produce esta falla, verás el siguiente error cuando intentes borrar el clúster:

      failed to wait for user cluster management namespace "USER_CLUSTER_NAME-gke-onprem-mgmt"
      to be deleted: timed out waiting for the condition
      

Durante la eliminación, un clúster primero borra todos sus objetos. La eliminación de los objetos de validación (que se crearon durante la creación, actualización o mejora) se bloquea en la fase de eliminación. Esto sucede porque un finalizador bloquea la eliminación del objeto, lo que hace que falle la eliminación del clúster.

Solución alternativa:

1. Obtén los nombres de todos los objetos de validación:

            kubectl  --kubeconfig ADMIN_KUBECONFIG get validations \
              -n USER_CLUSTER_NAME-gke-onprem-mgmt
           

2. Para cada objeto Validation, ejecuta el siguiente comando para quitar el finalizador del objeto Validation:

         kubectl --kubeconfig ADMIN_KUBECONFIG patch validation/VALIDATION_OBJECT_NAME \
           -n USER_CLUSTER_NAME-gke-onprem-mgmt -p '{"metadata":{"finalizers":[]}}' --type=merge
         

   Después de quitar el finalizador de todos los objetos de validación, se quitan los objetos y se completa automáticamente la operación de eliminación del clúster de usuarios. No es necesario que realices ninguna acción adicional.

El tráfico de la puerta de enlace NAT de salida al servidor externo falla

Si el Pod de origen y el Pod de puerta de enlace de NAT de salida están en dos nodos de trabajo diferentes, el tráfico del Pod de origen no puede llegar a ningún servicio externo. Si los Pods se encuentran en el mismo host, la conexión al servicio o la aplicación externos se realiza correctamente.

Este problema se debe a que vSphere descarta paquetes VXLAN cuando se habilita la agregación de túneles. Existe un problema conocido con NSX y VMware que solo envía tráfico agregado en puertos VXLAN conocidos (4789).

Solución alternativa:

Cambia el puerto VXLAN que usa Cilium a 4789:

1. Edita el ConfigMap cilium-config:

   kubectl edit cm -n kube-system cilium-config --kubeconfig USER_CLUSTER_KUBECONFIG

2. Agrega lo siguiente al ConfigMap cilium-config:

   tunnel-port: 4789

3. Reinicia el DaemonSet anetd:

   kubectl rollout restart ds anetd -n kube-system --kubeconfig USER_CLUSTER_KUBECONFIG

Esta solución alternativa se revierte cada vez que se actualiza el clúster. Debes reconfigurarlo después de cada actualización. VMware debe resolver el problema en vSphere para obtener una solución permanente.

No se puede actualizar un clúster de administrador con la encriptación de secretos siempre activa habilitada.

La actualización del clúster de administrador de 1.14.x a 1.15.x con la encriptación de secretos siempre activa habilitada falla debido a una discrepancia entre la clave de encriptación generada por el controlador y la clave que persiste en el disco de datos principal del administrador. El resultado de gkectl upgrade admin contiene el siguiente mensaje de error:

      E0926 14:42:21.796444   40110 console.go:93] Exit with error:
      E0926 14:42:21.796491   40110 console.go:93] Failed to upgrade the admin cluster: failed to create admin cluster: failed to wait for OnPremAdminCluster "admin-cluster-name" to become ready: failed to wait for OnPremAdminCluster "admin-cluster-name" to be ready: error: timed out waiting for the condition, message: failed to wait for OnPremAdminCluster "admin-cluster-name" to stay in ready status for duration "2m0s": OnPremAdminCluster "non-prod-admin" is not ready: ready condition is not true: CreateOrUpdateControlPlane: Creating or updating credentials for cluster control plane
      

La ejecución de kubectl get secrets -A --kubeconfig KUBECONFIG` falla con el siguiente error:

      Internal error occurred: unable to transform key "/registry/secrets/anthos-identity-service/ais-secret": rpc error: code = Internal desc = failed to decrypt: unknown jwk
      

Solución alternativa

Si tienes una copia de seguridad del clúster de administrador, sigue estos pasos para solucionar el error de actualización:

1. Inhabilita secretsEncryption en el archivo de configuración del clúster de administrador y actualiza el clúster con el siguiente comando:

   gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig KUBECONFIG

2. Cuando se cree la nueva VM maestra de administrador, accede a ella a través de SSH y reemplaza la clave nueva del disco de datos por la anterior de la copia de seguridad. La clave se encuentra en /opt/data/gke-k8s-kms-plugin/generatedkeys en el administrador principal.
3. Actualiza el manifiesto de Pod estático kms-plugin.yaml en /etc/kubernetes/manifests para actualizar el --kek-id para que coincida con el campo kid en la clave de encriptación original.
4. Para reiniciar el Pod estático kms-plugin, mueve el /etc/kubernetes/manifests/kms-plugin.yaml a otro directorio y, luego, vuelve a moverlo.
5. Para reanudar la actualización del administrador, vuelve a ejecutar gkectl upgrade admin.

Cómo evitar que se produzca un error de actualización

Si aún no lo hiciste, te recomendamos que no actualices a las versiones 1.15.0 a 1.15.4. Si debes actualizar a una versión afectada, sigue estos pasos antes de actualizar el clúster de administrador:

1. Crea una copia de seguridad del clúster de administrador.
2. Inhabilita secretsEncryption en el archivo de configuración del clúster de administrador y actualiza el clúster con el siguiente comando:

   gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig KUBECONFIG

3. Actualiza el clúster de administrador.
4. Vuelve a habilitar la encriptación de secretos siempre activa.

Errores de disco y fallas de conexión cuando se usa el seguimiento de bloques de cambio (CBT)

Google Distributed Cloud no admite el seguimiento de bloques de cambios (CBT) en los discos. Algunos softwares de copia de seguridad usan la función CBT para hacer un seguimiento del estado del disco y realizar copias de seguridad, lo que hace que el disco no pueda conectarse a una VM que ejecuta Google Distributed Cloud. Para obtener más información, consulta el artículo de la base de conocimiento de VMware.

Solución alternativa:

No crees copias de seguridad de las VMs de Google Distributed Cloud, ya que el software de copia de seguridad de terceros podría habilitar la CBT en sus discos. No es necesario crear una copia de seguridad de estas VMs.

No habilites CBT en el nodo, ya que este cambio no persistirá en las actualizaciones.

Si ya tienes discos con CBT habilitada, sigue los pasos de la solución en el artículo de la base de conocimiento de VMware para inhabilitar CBT en el disco de primera clase.

Se produce una corrupción de datos en NFSv3 cuando se agregan en paralelo a un archivo compartido desde varios hosts.

Si usas arrays de almacenamiento de Nutanix para proporcionar recursos compartidos de NFSv3 a tus hosts, es posible que experimentes daños en los datos o que los pods no se ejecuten correctamente. Este problema se debe a un problema de compatibilidad conocido entre ciertas versiones de VMware y Nutanix. Para obtener más información, consulta el artículo de la base de conocimiento de VMware asociado.

Solución alternativa:

El artículo de la base de conocimiento de VMware está desactualizado y señala que no hay una resolución actual. Para resolver este problema, actualiza a la versión más reciente de ESXi en tus hosts y a la versión más reciente de Nutanix en tus arrays de almacenamiento.

Discrepancia de versión entre kubelet y el plano de control de Kubernetes

En algunas versiones de Google Distributed Cloud, el kubelet que se ejecuta en los nodos usa una versión diferente a la del plano de control de Kubernetes. Hay una discrepancia porque el objeto binario de kubelet precargado en la imagen del SO usa una versión diferente.

En la siguiente tabla, se enumeran las discrepancias de versión identificadas:

Solución alternativa:

No se requiere ninguna acción. La incoherencia solo se produce entre las versiones de parches de Kubernetes, y esta discrepancia de versión no causó ningún problema.

No se puede actualizar un clúster de administrador con una versión de AC superior a 1.

Cuando un clúster de administrador tiene una versión de la autoridad certificadora (AC) superior a 1, la actualización falla debido a la validación de la versión de la AC en el webhook. El resultado de la actualización de gkectl contiene el siguiente mensaje de error:

    CAVersion must start from 1
    

Solución alternativa:

• Reduce la implementación de auto-resize-controller en el clúster de administrador para inhabilitar el cambio de tamaño automático de los nodos. Esto es necesario porque un campo nuevo que se introdujo en el recurso personalizado del clúster de administrador en la versión 1.15 puede causar un error de puntero nulo en el auto-resize-controller.

   kubectl scale deployment auto-resize-controller -n kube-system --replicas=0 --kubeconfig KUBECONFIG
        

• Ejecuta los comandos gkectl con la marca --disable-admin-cluster-webhook.Por ejemplo:

          gkectl upgrade admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig KUBECONFIG --disable-admin-cluster-webhook
          

La eliminación del clúster de Controlplane V2 sin alta disponibilidad se bloquea hasta que se agota el tiempo de espera

Cuando se borra un clúster de Controlplane V2 sin alta disponibilidad, se queda atascado en la eliminación de nodos hasta que se agota el tiempo de espera.

Solución alternativa:

Si el clúster contiene un StatefulSet con datos críticos, comunícate con Atención al cliente de Cloud para resolver este problema.

De lo contrario, sigue estos pasos:

• Borra todas las VMs del clúster de vSphere. Puedes borrar las VMs a través de la IU de vSphere o ejecutar el siguiente comando:

        govc vm.destroy

  .
• Vuelve a forzar la eliminación del clúster:

       gkectl delete cluster --cluster USER_CLUSTER_NAME --kubeconfig ADMIN_KUBECONFIG --force
       

Las tareas de attachvolume de CNS constantes aparecen cada minuto para PVC/PV en el árbol después de actualizar a la versión 1.15 o posterior.

Cuando un clúster contiene volúmenes persistentes de vSphere en el árbol (por ejemplo, PVC creados con la StorageClass standard), observarás tareas com.vmware.cns.tasks.attachvolume activadas cada minuto desde vCenter.

Solución alternativa:

Edita el configMap de la función CSI de vSphere y establece list-volumes en falso:

     kubectl edit configmap internal-feature-states.csi.vsphere.vmware.com -n kube-system --kubeconfig KUBECONFIG
     

Reinicia los pods del controlador de CSI de vSphere:

     kubectl rollout restart deployment vsphere-csi-controller -n kube-system --kubeconfig KUBECONFIG
    

Advertencias falsas contra los PVC

Cuando un clúster contiene volúmenes persistentes de vSphere en el árbol, los comandos gkectl diagnose y gkectl upgrade pueden generar advertencias falsas sobre sus reclamaciones de volumen persistente (PVC) cuando se valida la configuración de almacenamiento del clúster. El mensaje de advertencia se ve de la siguiente manera:

    CSIPrerequisites pvc/pvc-name: PersistentVolumeClaim pvc-name bounds to an in-tree vSphere volume created before CSI migration enabled, but it doesn't have the annotation pv.kubernetes.io/migrated-to set to csi.vsphere.vmware.com after CSI migration is enabled
    

Solución alternativa:

Ejecuta el siguiente comando para verificar las anotaciones de una PVC con la advertencia anterior:

    kubectl get pvc PVC_NAME -n PVC_NAMESPACE -oyaml --kubeconfig KUBECONFIG
    

Si el campo annotations en el resultado contiene lo siguiente, puedes ignorar la advertencia de forma segura:

      pv.kubernetes.io/bind-completed: "yes"
      pv.kubernetes.io/bound-by-controller: "yes"
      volume.beta.kubernetes.io/storage-provisioner: csi.vsphere.vmware.com
    

La rotación de claves de la cuenta de servicio falla cuando vencen varias claves.

Si tu clúster no usa un registro privado y las claves de la cuenta de servicio de acceso a los componentes y de la cuenta de servicio de supervisión de registros (o registro de Connect) están vencidas, cuando rotas las claves de la cuenta de servicio, gkectl update credentials falla con un error similar al siguiente:

Error: reconciliation failed: failed to update platform: ...

Solución alternativa:

Primero, rota la clave de la cuenta de servicio de acceso a los componentes. Aunque se muestre el mismo mensaje de error, deberías poder rotar las otras claves después de la rotación de claves de la cuenta de servicio de acceso de componentes.

Si la actualización aún no se realiza correctamente, comunícate con Atención al cliente de Cloud para resolver este problema.

La máquina principal de usuario 1.15 encuentra una recreación inesperada cuando el controlador de clústeres de usuarios se actualiza a la versión 1.16.

Durante una actualización de un clúster de usuario, después de que el controlador del clúster de usuario se actualice a la versión 1.16, si tienes otros clústeres de usuario de la versión 1.15 administrados por el mismo clúster de administrador, es posible que se vuelva a crear de forma inesperada la máquina principal del usuario.

Hay un error en el controlador de clúster de usuario 1.16 que puede activar la recreación de la máquina principal de usuario 1.15.

La solución que implementes dependerá de cómo encuentres este problema.

Sigue estos pasos para solucionar el problema cuando actualices el clúster de usuarios con la consola de Google Cloud:

Opción 1: Usa una versión 1.16.6 o posterior de GKE en VMware con la corrección.

Opción 2: Sigue estos pasos:

1. Agrega la anotación de la ejecución repetida de forma manual con el siguiente comando:

   kubectl edit onpremuserclusters USER_CLUSTER_NAME -n USER_CLUSTER_NAME-gke-onprem-mgmt --kubeconfig ADMIN_KUBECONFIG

   La anotación de la repetición es la siguiente:

   onprem.cluster.gke.io/server-side-preflight-rerun: true

2. Para supervisar el progreso de la actualización, verifica el campo status de OnPremUserCluster.

Solución alternativa para actualizar el clúster de usuarios con tu propia estación de trabajo de administrador:

Opción 1: Usa una versión 1.16.6 o posterior de GKE en VMware con la corrección.

Opción 2: Sigue estos pasos:

1. Agrega el archivo de información de compilación /etc/cloud/build.info con el siguiente contenido. Esto hace que las comprobaciones previas se ejecuten de forma local en la estación de trabajo de administrador en lugar de en el servidor.

   gke_on_prem_version: GKE_ON_PREM_VERSION

   Por ejemplo:

   gke_on_prem_version: 1.16.0-gke.669

2. Vuelve a ejecutar el comando de actualización.
3. Una vez que se complete la actualización, borra el archivo build.info.

La verificación previa falla cuando el nombre de host no está en el archivo de bloqueo de IP.

Durante la creación del clúster, si no especificas un nombre de host para cada dirección IP en el archivo de bloque de IP, la verificación previa falla con el siguiente mensaje de error:

multiple VMs found by DNS name  in xxx datacenter. Anthos Onprem doesn't support duplicate hostname in the same vCenter and you may want to rename/delete the existing VM.`
    

Hay un error en la verificación previa al vuelo que supone que el nombre de host vacío es un duplicado.

Solución alternativa:

Opción 1: Usa una versión con la corrección.

Opción 2: Agrega la marca --skip-validation-net-config para omitir esta verificación de solicitud preliminar.

Opción 3: Especifica un nombre de host único para cada dirección IP en el archivo de bloqueo de IP.

Falla de activación de volumen cuando se actualiza el clúster de administrador si se usa un clúster de administrador que no es de alta disponibilidad y un clúster de usuario de Controlplane v1

En el caso de un clúster de administrador sin alta disponibilidad y un clúster de usuario del plano de control v1, cuando actualizas el clúster de administrador, la recreación de la máquina principal del clúster de administrador puede ocurrir al mismo tiempo que el reinicio de la máquina principal del clúster de usuario, lo que puede generar una condición de carrera. Esto hace que los pods del plano de control del clúster de usuario no puedan comunicarse con el plano de control del clúster de administrador, lo que genera problemas de conexión de volumen para kube-etcd y kube-apiserver en el plano de control del clúster de usuario.

Para verificar el problema, ejecuta los siguientes comandos para el pod afectado:

kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG --namespace USER_CLUSTER_NAME describe pod IMPACTED_POD_NAME

Events:
  Type     Reason       Age                  From               Message
  ----     ------       ----                 ----               -------
  Warning  FailedMount  101s                 kubelet            Unable to attach or mount volumes: unmounted volumes=[kube-audit], unattached volumes=[], failed to process volumes=[]: timed out waiting for the condition
  Warning  FailedMount  86s (x2 over 3m28s)  kubelet            MountVolume.SetUp failed for volume "pvc-77cd0635-57c2-4392-b191-463a45c503cb" : rpc error: code = FailedPrecondition desc = volume ID: "bd313c62-d29b-4ecd-aeda-216648b0f7dc" does not appear staged to "/var/lib/kubelet/plugins/kubernetes.io/csi/csi.vsphere.vmware.com/92435c96eca83817e70ceb8ab994707257059734826fedf0c0228db6a1929024/globalmount"

Solución alternativa:

1. Establece una conexión SSH en el nodo del plano de control del usuario. Como se trata de un clúster de usuario del plano de control v1, el nodo del plano de control del usuario está en el clúster de administrador.
2. Reinicia kubelet con el siguiente comando:

       sudo systemctl restart kubelet
       

   Después del reinicio, el kubelet puede reconstruir el montaje global de etapa correctamente.

No se puede crear el nodo del plano de control

Durante una actualización de un clúster de administrador, una condición de carrera puede hacer que el administrador de controlador de nube de vSphere borre de forma inesperada un nodo de plano de control nuevo. Esto hace que clusterapi-controller se bloquee esperando que se cree el nodo y, en algún momento, se agote el tiempo de espera de la actualización. En este caso, el resultado del comando de actualización gkectl es similar al siguiente:

    controlplane 'default/gke-admin-hfzdg' is not ready: condition "Ready": condition is not ready with reason "MachineInitializing", message "Wait for the control plane machine "gke-admin-hfzdg-6598459f9zb647c8-0\" to be rebooted"...
    

Para identificar el síntoma, ejecuta el siguiente comando para acceder al administrador del controlador de nube de vSphere en el clúster de administrador:

    kubectl get pods --kubeconfig ADMIN_KUBECONFIG -n kube-system | grep vsphere-cloud-controller-manager
    kubectl logs -f vsphere-cloud-controller-manager-POD_NAME_SUFFIX --kubeconfig ADMIN_KUBECONFIG -n kube-system
    

Este es un mensaje de error de ejemplo del comando anterior:

    node name: 81ff17e25ec6-qual-335-1500f723 has a different uuid. Skip deleting this node from cache.
    

Solución alternativa:

1. Reinicia la máquina con errores para volver a crear el objeto del nodo borrado.
2. Establece una conexión SSH a cada nodo del plano de control y reinicia el pod estático del administrador del controlador de nube de vSphere:

         sudo crictl ps | grep vsphere-cloud-controller-manager | awk '{print $1}'
         sudo crictl stop PREVIOUS_COMMAND_OUTPUT
         

3. Vuelve a ejecutar el comando de actualización.

Un nombre de host duplicado en el mismo centro de datos causa fallas en la actualización o creación del clúster.

La actualización de un clúster de 1.15 o la creación de un clúster de 1.16 con IPs estáticas falla si hay nombres de host duplicados en el mismo centro de datos. Este error se produce porque el administrador del controlador de nube de vSphere no agrega una IP externa ni un ID de proveedor en el objeto del nodo. Esto hace que se agote el tiempo de espera de la actualización o creación del clúster.

Para identificar el problema, obtén los registros del pod del administrador de controlador de nube de vSphere del clúster. El comando que uses depende del tipo de clúster, como se indica a continuación:

• Clúster de administrador:

        kubectl get pods --kubeconfig ADMIN_KUBECONFIG -n kube-system | grep vsphere-cloud-controller-manager
        kubectl logs -f vsphere-cloud-controller-manager-POD_NAME_SUFFIX --kubeconfig ADMIN_KUBECONFIG -n kube-system
        

• Clúster de usuarios (kubeception):

        kubectl get pods --kubeconfig ADMIN_KUBECONFIG -n USER_CLUSTER_NAME | grep vsphere-cloud-controller-manager
        kubectl logs -f vsphere-cloud-controller-manager-POD_NAME_SUFFIX --kubeconfig ADMIN_KUBECONFIG -n USER_CLUSTER_NAME
        

• Clúster de usuarios: (Controlplane V2):

        kubectl get pods --kubeconfig USER_KUBECONFIG -n kube-system | grep vsphere-cloud-controller-manager
        kubectl logs -f vsphere-cloud-controller-manager-POD_NAME_SUFFIX --kubeconfig USER_KUBECONFIG -n kube-system
        

Este es un ejemplo de mensaje de error:

    I1003 17:17:46.769676       1 search.go:152] Finding node admin-vm-2 in vc=vcsa-53598.e5c235a1.asia-northeast1.gve.goog and datacenter=Datacenter
    E1003 17:17:46.771717       1 datacenter.go:111] Multiple vms found VM by DNS Name. DNS Name: admin-vm-2
    

Verifica si el nombre de host está duplicado en el centro de datos:

          export GOVC_DATACENTER=GOVC_DATACENTER
          export GOVC_URL=GOVC_URL
          export GOVC_USERNAME=GOVC_USERNAME
          export GOVC_PASSWORD=GOVC_PASSWORD
          export GOVC_INSECURE=true
          govc find . -type m -guest.hostName HOSTNAME
          

          export GOVC_DATACENTER=mtv-lifecycle-vc01
          export GOVC_URL=https://mtv-lifecycle-vc01.anthos/sdk
          export GOVC_USERNAME=xxx
          export GOVC_PASSWORD=yyy
          export GOVC_INSECURE=true
          govc find . -type m -guest.hostName f8c3cd333432-lifecycle-337-xxxxxxxz
          ./vm/gke-admin-node-6b7788cd76-wkt8g
          ./vm/gke-admin-node-6b7788cd76-99sg2
          ./vm/gke-admin-master-5m2jb
          

La solución que implementes dependerá de la operación que falló.

Solución alternativa para las actualizaciones:

Usa la solución para el tipo de clúster aplicable.

• Clúster de usuarios:
  1. Actualiza el nombre de host de la máquina afectada en user-ip-block.yaml a un nombre único y activa una actualización forzada:
     

               gkectl update cluster --kubeconfig ADMIN_KUBECONFIG --config NEW_USER_CLUSTER_CONFIG --force
               

  2. Vuelve a ejecutar gkectl upgrade cluster
• Clúster de administrador:
  1. Actualiza el nombre de host de la máquina afectada en admin-ip-block.yaml a un nombre único y activa una actualización forzada:
     

               gkectl update admin --kubeconfig ADMIN_KUBECONFIG --config NEW_ADMIN_CLUSTER_CONFIG --force --skip-cluster-ready-check
               

  2. Si se trata de un clúster de administrador sin HA y descubres que la VM principal del administrador usa un nombre de host duplicado, también debes hacer lo siguiente:
     Obtén el nombre de la máquina principal del administrador

               kubectl get machine --kubeconfig ADMIN_KUBECONFIG -owide -A
               

     Actualiza el objeto de máquina principal del administrador
     Nota: El valor de NEW_ADMIN_MASTER_HOSTNAME debe ser el mismo que configuraste en admin-ip-block.yaml en el paso 1.
     

               kubectl patch machine ADMIN_MASTER_MACHINE_NAME --kubeconfig ADMIN_KUBECONFIG --type='json' -p '[{"op": "replace", "path": "/spec/providerSpec/value/networkSpec/address/hostname", "value":"NEW_ADMIN_MASTER_HOSTNAME"}]'
               

     Verifica que el nombre de host se actualice en el objeto de máquina principal del administrador:
     

               kubectl get machine ADMIN_MASTER_MACHINE_NAME --kubeconfig ADMIN_KUBECONFIG -oyaml
               kubectl get machine ADMIN_MASTER_MACHINE_NAME --kubeconfig ADMIN_KUBECONFIG -o jsonpath='{.spec.providerSpec.value.networkSpec.address.hostname}'
               

  3. Vuelve a ejecutar la actualización del clúster de administrador con el punto de control inhabilitado:
     

               gkectl upgrade admin --kubeconfig ADMIN_KUBECONFIG --config ADMIN_CLUSTER_CONFIG --disable-upgrade-from-checkpoint
               

Solución alternativa para las instalaciones:

Usa la solución para el tipo de clúster aplicable.

• Clúster de administrador:
  1. Borra la máquina del nodo de administrador.
  2. Borra el disco de datos.
  3. Borra el archivo de punto de control del clúster de administrador.
  4. Actualiza el nombre de host de la máquina afectada en admin-ip-block.yaml a un nombre único.
  5. Vuelve a ejecutar gkectl create admin.
• Clúster de usuario:
  1. Limpia los recursos.
  2. Actualiza el nombre de host de la máquina afectada en user-ip-block.yaml a un nombre único.
  3. Vuelve a ejecutar gkectl create cluster.

$ y ` no son compatibles con el nombre de usuario ni la contraseña de vSphere.

Las siguientes operaciones fallan cuando el nombre de usuario o la contraseña de vSphere contienen $ o `:

• Actualiza un clúster de usuario 1.15 con Controlplane V2 habilitado a 1.16
• Actualiza un clúster de administrador de alta disponibilidad (HA) 1.15 a la versión 1.16
• Crea un clúster de usuario 1.16 con Controlplane V2 habilitado
• Crea un clúster de administrador de alta disponibilidad 1.16

Usa una versión 1.16.4 o posterior de Google Distributed Cloud con la corrección o realiza la siguiente solución alternativa. La solución que implementes dependerá de la operación que falló.

Solución alternativa para las actualizaciones:

1. Cambia el nombre de usuario o la contraseña de vCenter para quitar $ y `.
2. Actualiza el nombre de usuario o la contraseña de vCenter en el archivo de configuración de credenciales.
3. Activa una actualización forzada del clúster.
• Clúster de usuario

          gkectl update cluster --kubeconfig ADMIN_KUBECONFIG --config USER_CLUSTER_CONFIG --force
          

• Clúster de administrador:

          gkectl update admin --kubeconfig ADMIN_KUBECONFIG --config ADMIN_CLUSTER_CONFIG --force --skip-cluster-ready-check
          

Solución alternativa para las instalaciones:

1. Cambia el nombre de usuario o la contraseña de vCenter para quitar $ y `.
2. Actualiza el nombre de usuario o la contraseña de vCenter en el archivo de configuración de credenciales.
3. Usa la solución para el tipo de clúster aplicable.
• Clúster de administrador:
  1. Borra la máquina del nodo de administrador.
  2. Borra el disco de datos.
  3. Borra el archivo de punto de control del clúster de administrador.
  4. Vuelve a ejecutar gkectl create admin.
• Clúster de usuario:
  1. Limpia los recursos.
  2. Vuelve a ejecutar gkectl create cluster.

Falla en la creación de PVC después de que se vuelve a crear el nodo con el mismo nombre

Después de borrar un nodo y volver a crearlo con el mismo nombre, existe una pequeña posibilidad de que una creación posterior de PersistentVolumeClaim (PVC) falle con un error como el siguiente:

    The object 'vim.VirtualMachine:vm-988369' has already been deleted or has not been completely created

Esto se debe a una condición de carrera en la que el controlador de CSI de vSphere no borra una máquina quitada de su caché.

Solución alternativa:

Reinicia los pods del controlador de CSI de vSphere:

    kubectl rollout restart deployment vsphere-csi-controller -n kube-system --kubeconfig KUBECONFIG
    

gkectl repair admin-master muestra un error de unmarshall de kubeconfig.

Cuando ejecutas el comando gkectl repair admin-master en un clúster de administrador de HA, gkectl muestra el siguiente mensaje de error:

  Exit with error: Failed to repair: failed to select the template: failed to get cluster name from kubeconfig, please contact Google support. failed to decode kubeconfig data: yaml: unmarshal errors:
    line 3: cannot unmarshal !!seq into map[string]*api.Cluster
    line 8: cannot unmarshal !!seq into map[string]*api.Context
  

Solución alternativa:

Agrega la marca --admin-master-vm-template= al comando y proporciona la plantilla de VM de la máquina que se reparará:

  gkectl repair admin-master --kubeconfig=ADMIN_CLUSTER_KUBECONFIG \
      --config ADMIN_CLUSTER_CONFIG_FILE \
      --admin-master-vm-template=/DATA_CENTER/vm/VM_TEMPLATE_NAME
  

Para encontrar la plantilla de la VM de la máquina, haz lo siguiente:

1. Ve a la página Hosts and Clusters en el cliente de vSphere.
2. Haz clic en Plantillas de VM y filtra por el nombre del clúster de administrador.

   Deberías ver las tres plantillas de VM para el clúster de administrador.

3. Copia el nombre de la plantilla de VM que coincida con el nombre de la máquina que estás reparando y usa el nombre de la plantilla en el comando de reparación.

  gkectl repair admin-master \
      --config=/home/ubuntu/admin-cluster.yaml \
      --kubeconfig=/home/ubuntu/kubeconfig \
      --admin-master-vm-template=/atl-qual-vc07/vm/gke-admin-98g94-zx...7vx-0-tmpl

La VM de Seesaw falló debido a que hay poco espacio en el disco

Si usas Seesaw como el tipo de balanceador de cargas de tu clúster y ves que una VM de Seesaw está inactiva o no se inicia, es posible que veas el siguiente mensaje de error en la consola de vSphere:

    GRUB_FORCE_PARTUUID set, initrdless boot failed. Attempting with initrd
    

Este error indica que el espacio en el disco es bajo en la VM porque el fluent-bit que se ejecuta en la VM de Seesaw no está configurado con la rotación de registro correcta.

Solución alternativa:

Usa du -sh -- /var/lib/docker/containers/* | sort -rh para ubicar los archivos de registro que consumen la mayor parte del espacio en disco. Limpia el archivo de registro con el tamaño más grande y reinicia la VM.

Nota: Si no se puede acceder a la VM, conecta el disco a una VM que funcione (p.ej., una estación de trabajo del administrador), quita el archivo del disco conectado y, luego, vuelve a conectarlo a la VM de Seesaw original.

Para evitar que el problema vuelva a ocurrir, conéctate a la VM y modifica el archivo /etc/systemd/system/docker.fluent-bit.service. Agrega --log-opt max-size=10m --log-opt max-file=5 al comando de Docker y, luego, ejecuta systemctl restart docker.fluent-bit.service.

Error de clave pública de SSH del administrador después de la actualización del clúster de administrador

Cuando intentas actualizar (gkectl upgrade admin) o actualizar (gkectl update admin) un clúster de administrador que no es de alta disponibilidad con el punto de control habilitado, es posible que la actualización falle con errores como los siguientes:

Checking admin cluster certificates...FAILURE
    Reason: 20 admin cluster certificates error(s).
Unhealthy Resources:
    AdminMaster clusterCA bundle: failed to get clusterCA bundle on admin master, command [ssh -o IdentitiesOnly=yes -i admin-ssh-key -o StrictHostKeyChecking=no -o ConnectTimeout=30 ubuntu@AdminMasterIP -- sudo cat /etc/kubernetes/pki/ca-bundle.crt] failed with error: exit status 255, stderr: Authorized uses only. All activity may be monitored and reported.
    ubuntu@AdminMasterIP: Permission denied (publickey).

failed to ssh AdminMasterIP, failed with error: exit status 255, stderr: Authorized uses only. All activity may be monitored and reported.
    ubuntu@AdminMasterIP: Permission denied (publickey)

error dialing ubuntu@AdminMasterIP: failed to establish an authenticated SSH connection: ssh: handshake failed: ssh: unable to authenticate, attempted methods [none publickey]...

Solución alternativa:

Si no puedes actualizar a una versión con parches de Google Distributed Cloud con la corrección, comunícate con Atención al cliente de Google para obtener ayuda.

Es posible que falle la actualización de un clúster de administrador inscrito en la API de GKE On-Prem.

Cuando un clúster de administrador está inscrito en la API de GKE On-Prem, la actualización del clúster de administrador a las versiones afectadas podría fallar porque no se pudo actualizar la membresía de la flota. Cuando se produce esta falla, verás el siguiente error cuando intentes actualizar el clúster:

    failed to register cluster: failed to apply Hub Membership: Membership API request failed: rpc error: code = InvalidArgument desc = InvalidFieldError for field endpoint.on_prem_cluster.resource_link: field cannot be updated
    

Un clúster de administrador se inscribe en la API cuando lo inscribes de forma explícita o cuando actualizas un clúster de usuario con un cliente de la API de GKE On-Prem.

Solución alternativa:

    gcloud alpha container vmware admin-clusters unenroll ADMIN_CLUSTER_NAME --project CLUSTER_PROJECT --location=CLUSTER_LOCATION --allow-missing
    

No se conserva la anotación del vínculo de recursos del clúster de administrador inscrito

Cuando un clúster de administrador se inscribe en la API de GKE On-Prem, su anotación de vinculación de recursos se aplica al recurso personalizado OnPremAdminCluster, que no se conserva durante las actualizaciones posteriores del clúster de administrador debido a que se usa la clave de anotación incorrecta. Esto puede hacer que el clúster de administrador se inscriba nuevamente en la API de GKE On-Prem por error.

Un clúster de administrador se inscribe en la API cuando lo inscribes de forma explícita o cuando actualizas un clúster de usuario con un cliente de la API de GKE On-Prem.

Solución alternativa:

    gcloud alpha container vmware admin-clusters unenroll ADMIN_CLUSTER_NAME --project CLUSTER_PROJECT --location=CLUSTER_LOCATION --allow-missing
    

No se reconoce orderPolicy de CoreDNS

OrderPolicy no se reconoce como un parámetro y no se usa. En su lugar, Google Distributed Cloud siempre usa Random.

Este problema se produce porque no se actualizó la plantilla de CoreDNS, lo que hace que se ignore orderPolicy.

Solución alternativa:

Actualiza la plantilla de CoreDNS y aplica la corrección. Esta corrección persiste hasta que se realiza una actualización.

1. Edita la plantilla existente:

   kubectl edit cm -n kube-system coredns-template

   Reemplaza el contenido de la plantilla con lo siguiente:

   coredns-template: |-
     .:53 {
       errors
       health {
         lameduck 5s
       }
       ready
       kubernetes cluster.local in-addr.arpa ip6.arpa {
         pods insecure
         fallthrough in-addr.arpa ip6.arpa
       }
   {{- if .PrivateGoogleAccess }}
       import zones/private.Corefile
   {{- end }}
   {{- if .RestrictedGoogleAccess }}
       import zones/restricted.Corefile
   {{- end }}
       prometheus :9153
       forward . {{ .UpstreamNameservers }} {
         max_concurrent 1000
         {{- if ne .OrderPolicy "" }}
         policy {{ .OrderPolicy }}
         {{- end }}
       }
       cache 30
   {{- if .DefaultDomainQueryLogging }}
       log
   {{- end }}
       loop
       reload
       loadbalance
   }{{ range $i, $stubdomain := .StubDomains }}
   {{ $stubdomain.Domain }}:53 {
     errors
   {{- if $stubdomain.QueryLogging }}
     log
   {{- end }}
     cache 30
     forward . {{ $stubdomain.Nameservers }} {
       max_concurrent 1000
       {{- if ne $.OrderPolicy "" }}
       policy {{ $.OrderPolicy }}
       {{- end }}
     }
   }
   {{- end }}

El estado de OnPremAdminCluster es incoherente entre el punto de control y la CR real.

Ciertas condiciones de carrera podrían hacer que el estado de OnPremAdminCluster sea incoherente entre el punto de control y la CR real. Cuando se produce el problema, es posible que encuentres el siguiente error cuando actualices el clúster de administrador después de actualizarlo:

Exit with error:
E0321 10:20:53.515562  961695 console.go:93] Failed to update the admin cluster: OnPremAdminCluster "gke-admin-rj8jr" is in the middle of a create/upgrade ("" -> "1.15.0-gke.123"), which must be completed before it can be updated
Failed to update the admin cluster: OnPremAdminCluster "gke-admin-rj8jr" is in the middle of a create/upgrade ("" -> "1.15.0-gke.123"), which must be completed before it can be updated

El proceso de conciliación cambia los certificados de administrador en los clústeres de administrador

Google Distributed Cloud cambia los certificados de administrador en los planos de control del clúster de administrador con cada proceso de conciliación, como durante una actualización del clúster. Este comportamiento aumenta la posibilidad de obtener certificados no válidos para tu clúster de administrador, en especial para los clústeres de la versión 1.15.

Si te afecta este problema, es posible que tengas problemas como los siguientes:

• Los certificados no válidos pueden hacer que se agote el tiempo de espera de los siguientes comandos y que se muestren errores:
  • gkectl create admin
  • gkectl upgrade amdin
  • gkectl update admin

  Estos comandos pueden mostrar errores de autorización como los siguientes:

  Failed to reconcile admin cluster: unable to populate admin clients: failed to get admin controller runtime client: Unauthorized

• Es posible que los registros de kube-apiserver de tu clúster de administrador contengan errores como los siguientes:

  Unable to authenticate the request" err="[x509: certificate has expired or is not yet valid...

Solución alternativa:

Actualiza a una versión de Google Distributed Cloud con la corrección: 1.13.10 o versiones posteriores, 1.14.6 o versiones posteriores, 1.15.2 o versiones posteriores. Si no puedes actualizar, comunícate con el equipo de Atención al cliente de Cloud para resolver este problema.

Los componentes de Anthos Network Gateway se desalojan o quedan pendientes debido a que falta la clase de prioridad

Es posible que los Pods de puerta de enlace de red en kube-system muestren un estado de Pending o Evicted, como se muestra en el siguiente resultado de ejemplo condensado:

$ kubectl -n kube-system get pods | grep ang-node
ang-node-bjkkc     2/2     Running     0     5d2h
ang-node-mw8cq     0/2     Evicted     0     6m5s
ang-node-zsmq7     0/2     Pending     0     7h

Estos errores indican eventos de expulsión o la imposibilidad de programar Pods debido a los recursos del nodo. Como los pods de Anthos Network Gateway no tienen PriorityClass, tienen la misma prioridad predeterminada que otras cargas de trabajo. Cuando los nodos tienen recursos limitados, es posible que se expulsen los pods de la puerta de enlace de red. Este comportamiento es particularmente malo para el DaemonSet ang-node, ya que esos pods deben programarse en un nodo específico y no se pueden migrar.

Solución alternativa:

Actualiza a la versión 1.15 o una posterior.

Como solución a corto plazo, puedes asignar manualmente un PriorityClass a los componentes de la puerta de enlace de red de Anthos. El controlador de Google Distributed Cloud reemplaza estos cambios manuales durante un proceso de conciliación, como durante una actualización de clúster.

• Asigna la PriorityClass system-cluster-critical a las implementaciones del controlador de clústeres ang-controller-manager y autoscaler.
• Asigna la PriorityClass system-node-critical al DaemonSet del nodo ang-daemon.

La actualización del clúster de administrador falla después de registrarlo con gcloud.

Después de usar gcloud para registrar un clúster de administrador con una sección gkeConnect no vacía, es posible que veas el siguiente error cuando intentes actualizar el clúster:

failed to register cluster: failed to apply Hub Mem\
bership: Membership API request failed: rpc error: code = InvalidArgument desc = InvalidFieldError for field endpoint.o\
n_prem_cluster.admin_cluster: field cannot be updated

Borra el espacio de nombres gke-connect:

kubectl delete ns gke-connect --kubeconfig=ADMIN_KUBECONFIG

kubectl get onpremadmincluster -n kube-system --kubeconfig=ADMIN_KUBECONFIG

gcloud container fleet memberships delete ADMIN_CLUSTER_NAME

gkectl diagnose snapshot --log-since no limita el período para los comandos journalctl que se ejecutan en los nodos del clúster.

Esto no afecta la funcionalidad de tomar una instantánea del clúster, ya que la instantánea aún incluye todos los registros que se recopilan de forma predeterminada cuando se ejecuta journalctl en los nodos del clúster. Por lo tanto, no se pierde información de depuración.

gkectl prepare windows falla

gkectl prepare windows no instala Docker en versiones de Google Distributed Cloud anteriores a la 1.13 porque MicrosoftDockerProvider dejó de estar disponible.

Solución alternativa:

La idea general para solucionar este problema es actualizar a Google Distributed Cloud 1.13 y usar gkectl 1.13 para crear una plantilla de VM de Windows y, luego, crear grupos de nodos de Windows. Existen dos opciones para acceder a Google Distributed Cloud 1.13 desde tu versión actual, como se muestra a continuación.

Nota: Tenemos opciones para solucionar este problema en tu versión actual sin necesidad de actualizar a la 1.13, pero se necesitarán más pasos manuales. Comunícate con nuestro equipo de asistencia si deseas considerar esta opción.

Opción 1: Actualización azul-verde

Puedes crear un clúster nuevo con la versión 1.13 o posterior de Google Distributed Cloud con grupos de nodos de Windows, migrar tus cargas de trabajo al clúster nuevo y, luego, desmantelar el clúster actual. Se recomienda usar la versión menor más reciente de Google Distributed Cloud.

Nota: Esto requerirá recursos adicionales para aprovisionar el clúster nuevo, pero menos tiempo de inactividad y menos interrupciones para las cargas de trabajo existentes.

Opción 2: Borra los grupos de nodos de Windows y vuelve a agregarlos cuando realices la actualización a Google Distributed Cloud 1.13.

Nota: Con esta opción, las cargas de trabajo de Windows no podrán ejecutarse hasta que el clúster se actualice a la versión 1.13 y se vuelvan a agregar los grupos de nodos de Windows.

1. Para borrar los grupos de nodos de Windows existentes, quita la configuración de los grupos de nodos de Windows del archivo user-cluster.yaml y, luego, ejecuta el siguiente comando:

   gkectl update cluster --kubeconfig=ADMIN_KUBECONFIG --config USER_CLUSTER_CONFIG_FILE

2. Actualiza los clústeres de administrador y usuario exclusivos de Linux a la versión 1.12 siguiendo la guía de usuario de actualización de la versión secundaria objetivo correspondiente.
3. (Asegúrate de realizar este paso antes de actualizar a la versión 1.13). Asegúrate de que enableWindowsDataplaneV2: true esté configurado en OnPremUserCluster CR. De lo contrario, el clúster seguirá usando grupos de nodos de Docker para Windows, que no serán compatibles con la plantilla de VM de Windows 1.13 recién creada que no tiene Docker instalado. Si no está configurado o se establece como falso, actualiza el clúster para establecerlo como verdadero en user-cluster.yaml y, luego, ejecuta lo siguiente:

   gkectl update cluster --kubeconfig=ADMIN_KUBECONFIG --config USER_CLUSTER_CONFIG_FILE

4. Actualiza los clústeres de administrador y usuario exclusivos de Linux a la versión 1.13 siguiendo la guía de usuario de actualización.
5. Prepara la plantilla de VM de Windows con gkectl 1.13:

   gkectl prepare windows --base-vm-template BASE_WINDOWS_VM_TEMPLATE_NAME --bundle-path 1.13_BUNDLE_PATH --kubeconfig=ADMIN_KUBECONFIG

6. Vuelve a agregar la configuración del grupo de nodos de Windows a user-cluster.yaml con el campo OSImage configurado en la plantilla de VM de Windows recién creada.
7. Actualiza el clúster para agregar grupos de nodos de Windows

   gkectl update cluster --kubeconfig=ADMIN_KUBECONFIG --config USER_CLUSTER_CONFIG_FILE

La configuración de RootDistanceMaxSec no se aplica a los nodos ubuntu.

Se usará el valor predeterminado de 5 segundos para RootDistanceMaxSec en los nodos, en lugar de 20 segundos, que debería ser la configuración esperada. Si verificas el registro de inicio del nodo a través de SSH en la VM, que se encuentra en "/var/log/startup.log", puedes encontrar el siguiente error:

+ has_systemd_unit systemd-timesyncd
/opt/bin/master.sh: line 635: has_systemd_unit: command not found

El uso de un RootDistanceMaxSec de 5 segundos puede hacer que el reloj del sistema no esté sincronizado con el servidor NTP cuando la deriva del reloj sea mayor que 5 segundos.

Solución alternativa:

Aplica el siguiente DaemonSet a tu clúster para configurar RootDistanceMaxSec:

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: change-root-distance
  namespace: kube-system
spec:
  selector:
    matchLabels:
      app: change-root-distance
  template:
    metadata:
      labels:
        app: change-root-distance
    spec:
      hostIPC: true
      hostPID: true
      tolerations:
      # Make sure pods gets scheduled on all nodes.
      - effect: NoSchedule
        operator: Exists
      - effect: NoExecute
        operator: Exists
      containers:
      - name: change-root-distance
        image: ubuntu
        command: ["chroot", "/host", "bash", "-c"]
        args:
        - |
          while true; do
            conf_file="/etc/systemd/timesyncd.conf.d/90-gke.conf"
            if [ -f $conf_file ] && $(grep -q "RootDistanceMaxSec=20" $conf_file); then
              echo "timesyncd has the expected RootDistanceMaxSec, skip update"
            else
              echo "updating timesyncd config to RootDistanceMaxSec=20"
              mkdir -p /etc/systemd/timesyncd.conf.d
              cat > $conf_file << EOF
          [Time]
          RootDistanceMaxSec=20
          EOF
              systemctl restart systemd-timesyncd
            fi
            sleep 600
          done
        volumeMounts:
        - name: host
          mountPath: /host
        securityContext:
          privileged: true
      volumes:
      - name: host
        hostPath:
          path: /

gkectl update admin falla debido a un campo osImageType vacío

Cuando usas gkectl de la versión 1.13 para actualizar un clúster de administrador de la versión 1.12, es posible que veas el siguiente error:

Failed to update the admin cluster: updating OS image type in admin cluster
is not supported in "1.12.x-gke.x"

Cuando usas gkectl update admin para clústeres de la versión 1.13 o 1.14, es posible que veas el siguiente mensaje en la respuesta:

Exit with error:
Failed to update the cluster: the update contains multiple changes. Please
update only one feature at a time

Si revisas el registro de gkectl, es posible que veas que los múltiples cambios incluyen configurar osImageType de una cadena vacía a ubuntu_containerd.

Estos errores de actualización se deben al reabastecimiento incorrecto del campo osImageType en la configuración del clúster de administrador desde que se introdujo en la versión 1.9.

Solución alternativa:

Actualiza a una versión de Google Distributed Cloud con la corrección. Si no es posible realizar la actualización, comunícate con Atención al cliente de Cloud para resolver este problema.

El SNI no funciona en clústeres de usuarios con Controlplane V2

La capacidad de proporcionar un certificado de entrega adicional para el servidor de la API de Kubernetes de un clúster de usuarios con authentication.sni no funciona cuando el plano de control V2 está habilitado ( enableControlplaneV2: true).

Solución alternativa:

Hasta que haya un parche de Google Distributed Cloud disponible con la corrección, si necesitas usar SNI, inhabilita Controlplane V2 (enableControlplaneV2: false).

$ en el nombre de usuario del registro privado causa una falla en el inicio de la máquina del plano de control del administrador.

La máquina del plano de control del administrador no se inicia cuando el nombre de usuario del registro privado contiene $. Cuando verificas el /var/log/startup.log en la máquina del plano de control del administrador, ves el siguiente error:

++ REGISTRY_CA_CERT=xxx
++ REGISTRY_SERVER=xxx
/etc/startup/startup.conf: line 7: anthos: unbound variable

Solución alternativa:

Usa un nombre de usuario de registro privado sin $ o usa una versión de Google Distributed Cloud con la corrección.

Advertencias de falsos positivos sobre cambios no admitidos durante la actualización del clúster de administrador

Cuando actualices los clústeres de administrador, verás las siguientes advertencias de falsos positivos en el registro, que puedes ignorar.

    console.go:47] detected unsupported changes: &v1alpha1.OnPremAdminCluster{
      ...
      -         CARotation:        &v1alpha1.CARotationConfig{Generated: &v1alpha1.CARotationGenerated{CAVersion: 1}},
      +         CARotation:        nil,
      ...
    }

No se pudo actualizar el clúster de usuarios después de la rotación de la clave de firma de KSA

Después de rotar las claves de firma de KSA y, luego, actualizar un clúster de usuario, es posible que gkectl update falle con el siguiente mensaje de error:

Failed to apply OnPremUserCluster 'USER_CLUSTER_NAME-gke-onprem-mgmt/USER_CLUSTER_NAME':
admission webhook "vonpremusercluster.onprem.cluster.gke.io" denied the request:
requests must not decrement *v1alpha1.KSASigningKeyRotationConfig Version, old version: 2, new version: 1"

Solución alternativa:

1. Verifica el secreto en el clúster de administrador en el espacio de nombres USER_CLUSTER_NAME y obtén el nombre del secreto de la clave de firma de ksa:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME get secrets | grep ksa-signing-key

2. Copia el secreto ksa-signing-key y asígnale el nombre service-account-cert:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME get secret KSA-KEY-SECRET-NAME -oyaml | \
   sed 's/ name: .*/ name: service-account-cert/' | \
   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME apply -f -

3. Borra el secreto de ksa-signing-key anterior:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME delete secret KSA-KEY-SECRET-NAME

4. Actualiza el campo data.data en el configmap ksa-signing-key-rotation-stage a '{"tokenVersion":1,"privateKeyVersion":1,"publicKeyVersions":[1]}':

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME \
   edit configmap ksa-signing-key-rotation-stage

5. Inhabilita el webhook de validación para editar la información de la versión en el recurso personalizado OnPremUserCluster:

   kubectl --kubeconfig=ADMIN_KUBECONFIG patch validatingwebhookconfiguration onprem-user-cluster-controller -p '
   webhooks:
   - name: vonpremnodepool.onprem.cluster.gke.io
     rules:
     - apiGroups:
       - onprem.cluster.gke.io
       apiVersions:
       - v1alpha1
       operations:
       - CREATE
       resources:
       - onpremnodepools
   - name: vonpremusercluster.onprem.cluster.gke.io
     rules:
     - apiGroups:
       - onprem.cluster.gke.io
       apiVersions:
       - v1alpha1
       operations:
       - CREATE
       resources:
       - onpremuserclusters
   '

6. Actualiza el campo spec.ksaSigningKeyRotation.generated.ksaSigningKeyRotation a 1 en tu recurso personalizado OnPremUserCluster:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME-gke-onprem-mgmt \
   edit onpremusercluster USER_CLUSTER_NAME

7. Espera a que el clúster de usuarios de destino esté listo. Para verificar el estado, haz lo siguiente:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME-gke-onprem-mgmt \
   get onpremusercluster

8. Restablece el webhook de validación para el clúster de usuario:

   kubectl --kubeconfig=ADMIN_KUBECONFIG patch validatingwebhookconfiguration onprem-user-cluster-controller -p '
   webhooks:
   - name: vonpremnodepool.onprem.cluster.gke.io
     rules:
     - apiGroups:
       - onprem.cluster.gke.io
       apiVersions:
       - v1alpha1
       operations:
       - CREATE
       - UPDATE
       resources:
       - onpremnodepools
   - name: vonpremusercluster.onprem.cluster.gke.io
     rules:
     - apiGroups:
       - onprem.cluster.gke.io
       apiVersions:
       - v1alpha1
       operations:
       - CREATE
       - UPDATE
       resources:
       - onpremuserclusters
   '

9. Evita otra rotación de la clave de firma de KSA hasta que el clúster se actualice a la versión con la corrección.

Los servidores virtuales BIG-IP de F5 no se borran cuando Terraform borra clústeres de usuarios.

Cuando usas Terraform para borrar un clúster de usuarios con un balanceador de cargas BIG-IP de F5, los servidores virtuales BIG-IP de F5 no se quitan después de la eliminación del clúster.

Solución alternativa:

Para quitar los recursos de F5, sigue los pasos para limpiar la partición F5 de un clúster de usuario

El clúster de Kind extrae imágenes de contenedor de docker.io.

Si creas un clúster de administrador de la versión 1.13.8 o 1.14.4, o bien actualizas un clúster de administrador a la versión 1.13.8 o 1.14.4, el clúster de tipo extrae las siguientes imágenes de contenedor de docker.io:

Si no se puede acceder a docker.io desde tu estación de trabajo de administrador, la creación o actualización del clúster de administrador no muestra el clúster de tipo. Si ejecutas el siguiente comando en la estación de trabajo de administrador, se muestran los contenedores correspondientes pendientes con ErrImagePull:

docker exec gkectl-control-plane kubectl get pods -A

La respuesta contiene entradas como las siguientes:

...
kube-system         kindnet-xlhmr                             0/1
    ErrImagePull  0    3m12s
...
local-path-storage  local-path-provisioner-86666ffff6-zzqtp   0/1
    Pending       0    3m12s
...

Estas imágenes de contenedor deben estar precargadas en la imagen del contenedor del clúster de tipo. Sin embargo, kind v0.18.0 tiene un problema con las imágenes de contenedor precargadas, lo que hace que se extraigan de Internet por error.

Solución alternativa:

Ejecuta los siguientes comandos en la estación de trabajo de administrador mientras el clúster de administrador está pendiente de creación o actualización:

docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/kindnetd:v20230330-48f316cd@sha256:c19d6362a6a928139820761475a38c24c0cf84d507b9ddf414a078cf627497af docker.io/kindest/kindnetd:v20230330-48f316cd
docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/kindnetd:v20230330-48f316cd@sha256:c19d6362a6a928139820761475a38c24c0cf84d507b9ddf414a078cf627497af docker.io/kindest/kindnetd@sha256:c19d6362a6a928139820761475a38c24c0cf84d507b9ddf414a078cf627497af

docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/local-path-helper:v20230330-48f316cd@sha256:135203f2441f916fb13dad1561d27f60a6f11f50ec288b01a7d2ee9947c36270 docker.io/kindest/local-path-helper:v20230330-48f316cd
docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/local-path-helper:v20230330-48f316cd@sha256:135203f2441f916fb13dad1561d27f60a6f11f50ec288b01a7d2ee9947c36270 docker.io/kindest/local-path-helper@sha256:135203f2441f916fb13dad1561d27f60a6f11f50ec288b01a7d2ee9947c36270

docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/local-path-provisioner:v0.0.23-kind.0@sha256:f2d0a02831ff3a03cf51343226670d5060623b43a4cfc4808bd0875b2c4b9501 docker.io/kindest/local-path-provisioner:v0.0.23-kind.0
docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/local-path-provisioner:v0.0.23-kind.0@sha256:f2d0a02831ff3a03cf51343226670d5060623b43a4cfc4808bd0875b2c4b9501 docker.io/kindest/local-path-provisioner@sha256:f2d0a02831ff3a03cf51343226670d5060623b43a4cfc4808bd0875b2c4b9501

No se realiza correctamente la conmutación por error en el clúster de usuario y el clúster de administrador de Controlplane V2 de alta disponibilidad cuando la red filtra las solicitudes de GARP duplicadas.

Si las VMs de tu clúster están conectadas con un interruptor que filtra las solicitudes de GARP (ARP gratuito) duplicadas, la elección del líder con el tiempo de actividad podría encontrar una condición de carrera, lo que hace que algunos nodos tengan entradas de tabla de ARP incorrectas.

Los nodos afectados pueden ping la VIP del plano de control, pero se agotará el tiempo de espera de una conexión TCP a la VIP del plano de control.

Solución alternativa:

    iptables -I FORWARD -i ens192 --destination CONTROL_PLANE_VIP -j DROP
    

Se debe reiniciar vsphere-csi-controller después de la rotación del certificado de vCenter.

vsphere-csi-controller debe actualizar su secreto de vCenter después de la rotación del certificado de vCenter. Sin embargo, el sistema actual no reinicia correctamente los pods de vsphere-csi-controller, lo que hace que vsphere-csi-controller falle después de la rotación.

Solución alternativa:

Para los clústeres creados en la versión 1.13 y versiones posteriores, sigue las instrucciones que se indican a continuación para reiniciar vsphere-csi-controller.

kubectl --kubeconfig=ADMIN_KUBECONFIG rollout restart deployment vsphere-csi-controller -n kube-system

La creación del clúster de administrador no falla en los errores de registro de clústeres.

Incluso cuando el registro del clúster falla durante la creación del clúster de administrador, el comando gkectl create admin no falla en el error y puede tener éxito. En otras palabras, la creación del clúster de administrador podría "tener éxito" sin estar registrado en una flota.

Failed to register admin cluster

También puedes verificar si puedes encontrar el clúster entre los clústeres registrados en la consola de Cloud.

Solución alternativa:

Para los clústeres creados en la versión 1.12 y versiones posteriores, sigue las instrucciones para volver a intentar el registro del clúster de administrador después de crearlo. Para los clústeres creados en versiones anteriores, haz lo siguiente:

1. Agrega un par clave-valor falso, como "foo: bar", a tu archivo de claves de SA de connect-register.
2. Ejecuta gkectl update admin para volver a registrar el clúster de administrador.

Es posible que se omita el registro del clúster de administrador durante la actualización

Durante la actualización del clúster de administrador, si se agota el tiempo de espera de la actualización de los nodos del plano de control de usuario, el clúster de administrador no se volverá a registrar con la versión actualizada del agente de conexión.

Solución alternativa:

1. Agrega un par clave-valor falso, como "foo: bar", a tu archivo de claves de SA de connect-register.
2. Ejecuta gkectl update admin para volver a registrar el clúster de administrador.

Mensaje de error falso sobre vCenter.dataDisk

En el caso de un clúster de administrador con alta disponibilidad, gkectl prepare muestra este mensaje de error falso:

vCenter.dataDisk must be present in the AdminCluster spec

Solución alternativa:

Puedes ignorar este mensaje de error.

La creación del grupo de nodos falla debido a reglas de afinidad de VM a host redundantes

Durante la creación de un grupo de nodos que usa afinidad de VM-host, una condición de carrera puede provocar que se creen varias reglas de afinidad de VM-host con el mismo nombre. Esto puede provocar que no se pueda crear el grupo de nodos.

Solución alternativa:

Quita las reglas redundantes anteriores para que se pueda continuar con la creación del grupo de nodos. Estas reglas se denominan [USER_CLUSTER_NAME]-[HASH].

Es posible que gkectl repair admin-master falle debido a failed to delete the admin master node object and reboot the admin master VM .

El comando gkectl repair admin-master puede fallar debido a una condición de carrera con el siguiente error.

Failed to repair: failed to delete the admin master node object and reboot the admin master VM

Solución alternativa:

Este comando es idempotente. Se puede volver a ejecutar de forma segura hasta que el comando se ejecute correctamente.

Los pods permanecen en el estado Failed después de la recreación o actualización de un nodo del plano de control.

Después de volver a crear o actualizar un nodo del plano de control, es posible que ciertos Pods permanezcan en el estado Failed debido a una falla del predicado NodeAffinity. Estos pods con errores no afectan el estado ni las operaciones normales del clúster.

Solución alternativa:

Puedes ignorar los Pods con errores o borrarlos de forma manual.

OnPremUserCluster no está listo debido a las credenciales del registro privado

Si usas credenciales preparadas y un registro privado, pero no configuraste credenciales preparadas para tu registro privado, es posible que OnPremUserCluster no esté listo y que veas el siguiente mensaje de error:

failed to check secret reference for private registry …

Solución alternativa:

Prepara las credenciales de registro privadas para el clúster de usuario según las instrucciones que se indican en Configura credenciales preparadas.

gkectl upgrade admin falla con StorageClass standard sets the parameter diskformat which is invalid for CSI Migration

Durante gkectl upgrade admin, la verificación de solicitud preliminar de almacenamiento para la migración de CSI verifica que los StorageClass no tengan parámetros que se ignoren después de la migración de CSI. Por ejemplo, si hay una StorageClass con el parámetro diskformat, entonces gkectl upgrade admin marca la StorageClass y informa un error en la validación previa al vuelo. Los clústeres de administrador creados en Google Distributed Cloud 1.10 y versiones anteriores tienen una StorageClass con diskformat: thin, que fallará en esta validación. Sin embargo, esta StorageClass seguirá funcionando bien después de la migración de CSI. En cambio, estas fallas deben interpretarse como advertencias.

Para obtener más información, consulta la sección del parámetro StorageClass en Cómo migrar volúmenes de vSphere en el árbol al complemento de almacenamiento de contenedores de vSphere.

Solución alternativa:

Después de confirmar que tu clúster tiene un StorageClass con parámetros ignorados después de la migración de CSI, ejecuta gkectl upgrade admin con la marca --skip-validation-cluster-health.

Los volúmenes de vSphere en el árbol migrados con el sistema de archivos de Windows no se pueden usar con el controlador de CSI de vSphere.

En ciertas condiciones, los discos se pueden conectar como de solo lectura a nodos de Windows. Esto hace que el volumen correspondiente sea de solo lectura dentro de un pod. Es más probable que este problema se produzca cuando un conjunto de nodos nuevo reemplace un conjunto de nodos antiguo (por ejemplo, una actualización de clúster o de grupo de nodos). Es posible que las cargas de trabajo con estado que funcionaban bien antes no puedan escribir en sus volúmenes en el nuevo conjunto de nodos.

Solución alternativa:

1. Obtén el UID del Pod que no puede escribir en su volumen:

   kubectl --kubeconfig USER_CLUSTER_KUBECONFIG get pod \
       POD_NAME --namespace POD_NAMESPACE \
       -o=jsonpath='{.metadata.uid}{"\n"}'

2. Usa el PersistentVolumeClaim para obtener el nombre del PersistentVolume:

   kubectl --kubeconfig USER_CLUSTER_KUBECONFIG get pvc \
       PVC_NAME --namespace POD_NAMESPACE \
       -o jsonpath='{.spec.volumeName}{"\n"}'

3. Determina el nombre del nodo en el que se ejecuta el Pod:

   kubectl --kubeconfig USER_CLUSTER_KUBECONFIGget pods \
       --namespace POD_NAMESPACE \
       -o jsonpath='{.spec.nodeName}{"\n"}'

4. Obtén acceso de PowerShell al nodo, ya sea a través de SSH o de la interfaz web de vSphere.
5. Establece las variables de entorno:

   PS C:\Users\administrator> pvname=PV_NAME
   PS C:\Users\administrator> podid=POD_UID

6. Identifica el número de disco asociado con el PersistentVolume:

   PS C:\Users\administrator> disknum=(Get-Partition -Volume (Get-Volume -UniqueId ("\\?\"+(Get-Item (Get-Item
   "C:\var\lib\kubelet\pods\$podid\volumes\kubernetes.io~csi\$pvname\mount").Target).Target))).DiskNumber

7. Verifica que el disco sea readonly:

   PS C:\Users\administrator> (Get-Disk -Number $disknum).IsReadonly

   El resultado debería ser True.
8. Establece readonly en false.

   PS C:\Users\administrator> Set-Disk -Number $disknum -IsReadonly $false
   PS C:\Users\administrator> (Get-Disk -Number $disknum).IsReadonly

9. Borra el Pod para que se reinicie:

   kubectl --kubeconfig USER_CLUSTER_KUBECONFIG delete pod POD_NAME \
       --namespace POD_NAMESPACE

10. El pod se debe programar en el mismo nodo. Sin embargo, en caso de que el Pod se programe en un nodo nuevo, es posible que debas repetir los pasos anteriores en el nodo nuevo.

vsphere-csi-secret no se actualiza después de gkectl update credentials vsphere --admin-cluster

Si actualizas las credenciales de vSphere de un clúster de administrador después de actualizar las credenciales del clúster, es posible que encuentres que vsphere-csi-secret en el espacio de nombres kube-system del clúster de administrador aún usa la credencial anterior.

Solución alternativa:

1. Obtén el nombre del Secret vsphere-csi-secret:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=kube-system get secrets | grep vsphere-csi-secret

2. Actualiza los datos del secreto vsphere-csi-secret que obtuviste en el paso anterior:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=kube-system patch secret CSI_SECRET_NAME -p \
     "{\"data\":{\"config\":\"$( \
       kubectl --kubeconfig=ADMIN_KUBECONFIG -n=kube-system get secrets CSI_SECRET_NAME -ojsonpath='{.data.config}' \
         | base64 -d \
         | sed -e '/user/c user = \"VSPHERE_USERNAME_TO_BE_UPDATED\"' \
         | sed -e '/password/c password = \"VSPHERE_PASSWORD_TO_BE_UPDATED\"' \
         | base64 -w 0 \
       )\"}}"

3. Reinicia vsphere-csi-controller:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=kube-system rollout restart deployment vsphere-csi-controller

4. Puedes hacer un seguimiento del estado del lanzamiento con las siguientes opciones:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=kube-system rollout status deployment vsphere-csi-controller

   Después de que se implemente la implementación correctamente, el controlador debe usar el vsphere-csi-secret actualizado.

audit-proxy entra en un bucle de falla cuando se habilitan los registros de auditoría de Cloud con gkectl update cluster.

Es posible que audit-proxy entre en un bucle de falla debido a un --cluster-name vacío. Este comportamiento se debe a un error en la lógica de actualización, en el que el nombre del clúster no se propaga al manifiesto del pod o contenedor de proxy de auditoría.

Solución alternativa:

Para un clúster de usuario de ControlPlane v2 con enableControlplaneV2: true, conéctate a la máquina del plano de control del usuario a través de SSH y actualiza /etc/kubernetes/manifests/audit-proxy.yaml con --cluster_name=USER_CLUSTER_NAME.

Para un clúster de usuario de Controlplane v1, edita el contenedor audit-proxy en el statefulset kube-apiserver para agregar --cluster_name=USER_CLUSTER_NAME:

kubectl edit statefulset kube-apiserver -n USER_CLUSTER_NAME --kubeconfig=ADMIN_CLUSTER_KUBECONFIG

Una nueva implementación del plano de control justo después de gkectl upgrade cluster

Inmediatamente después de gkectl upgrade cluster, es posible que los pods del plano de control se vuelvan a implementar. El estado del clúster de gkectl list clusters cambia de RUNNING a RECONCILING. Es posible que se agote el tiempo de espera de las solicitudes al clúster de usuarios.

Este comportamiento se debe a que la rotación de certificados del plano de control se produce automáticamente después de gkectl upgrade cluster.

Este problema solo ocurre en los clústeres de usuarios que NO usan el plano de control v2.

Solución alternativa:

Espera a que el estado del clúster vuelva a cambiar a RUNNING en gkectl list clusters o actualiza a versiones con la corrección: 1.13.6 o versiones posteriores, 1.14.2 o versiones posteriores, o 1.15 o versiones posteriores.

Se quitó la versión incorrecta 1.12.7-gke.19.

Google Distributed Cloud 1.12.7-gke.19 es una versión no válida y no debes usarla. Los artefactos se quitaron del bucket de Cloud Storage.

Solución alternativa:

En su lugar, usa la versión 1.12.7-gke.20.

gke-connect-agent sigue usando la imagen anterior después de actualizar la credencial del registro.

Si actualizas la credencial del registro con uno de los siguientes métodos:

• gkectl update credentials componentaccess si no usas un registro privado
• gkectl update credentials privateregistry si usas un registro privado

Es posible que gke-connect-agent siga usando la imagen más antigua o que los pods de gke-connect-agent no se puedan recuperar debido a ImagePullBackOff.

Este problema se solucionará en las versiones 1.13.8, 1.14.4 y posteriores de Google Distributed Cloud.

Solución alternativa:

Opción 1: Vuelve a implementar gke-connect-agent de forma manual:

1. Borra el espacio de nombres gke-connect:

   kubectl --kubeconfig=KUBECONFIG delete namespace gke-connect

2. Vuelve a implementar gke-connect-agent con la clave de cuenta de servicio de registro original (no es necesario actualizar la clave):
   Para el clúster de administrador:

   gkectl update credentials register --kubeconfig=ADMIN_CLUSTER_KUBECONFIG --config ADMIN_CLUSTER_CONFIG_FILE --admin-cluster

   Para el clúster de usuarios:

   gkectl update credentials register --kubeconfig=ADMIN_CLUSTER_KUBECONFIG --config USER_CLUSTER_CONFIG_FILE

Opción 2: Puedes cambiar manualmente los datos del secreto de extracción de imágenes regcred que usa la implementación de gke-connect-agent:

kubectl --kubeconfig=KUBECONFIG -n=gke-connect patch secrets regcred -p "{\"data\":{\".dockerconfigjson\":\"$(kubectl --kubeconfig=KUBECONFIG -n=kube-system get secrets private-registry-creds -ojsonpath='{.data.\.dockerconfigjson}')\"}}"

Opción 3: Puedes agregar el secreto de extracción de imágenes predeterminado para tu clúster en la implementación de gke-connect-agent de la siguiente manera:

1. Copia el secreto predeterminado en el espacio de nombres gke-connect:

   kubectl --kubeconfig=KUBECONFIG -n=kube-system get secret private-registry-creds -oyaml | sed 's/ namespace: .*/ namespace: gke-connect/' | kubectl --kubeconfig=KUBECONFIG -n=gke-connect apply -f -

2. Obtén el nombre de la implementación gke-connect-agent:

   kubectl --kubeconfig=KUBECONFIG -n=gke-connect get deployment | grep gke-connect-agent

3. Agrega el Secret predeterminado a la implementación de gke-connect-agent:

   kubectl --kubeconfig=KUBECONFIG -n=gke-connect patch deployment DEPLOYMENT_NAME -p '{"spec":{"template":{"spec":{"imagePullSecrets": [{"name": "private-registry-creds"}, {"name": "regcred"}]}}}}'

Falla en la verificación manual de la configuración de LB

Cuando valides la configuración antes de crear un clúster con el balanceador de cargas manual ejecutando gkectl check-config, el comando fallará con los siguientes mensajes de error.

 - Validation Category: Manual LB    Running validation check for "Network
configuration"...panic: runtime error: invalid memory address or nil pointer
dereference

Solución alternativa:

Opción 1: Puedes usar las versiones de parche 1.13.7 y 1.14.4 que incluirán la corrección.

Opción 2: También puedes ejecutar el mismo comando para validar la configuración, pero omitir la validación del balanceador de cargas.

gkectl check-config --skip-validation-load-balancer

Agotamiento de la supervisión de etcd

Es posible que los clústeres que ejecutan etcd versión 3.4.13 o anterior experimenten una falta de supervisión y supervisión de recursos no operativos, lo que puede provocar los siguientes problemas:

• Se interrumpe la programación de pods
• Los nodos no se pueden registrar
• kubelet no observa los cambios en el pod

Estos problemas pueden hacer que el clúster deje de funcionar.

Este problema se solucionó en las versiones 1.12.7, 1.13.6, 1.14.3 y posteriores de Google Distributed Cloud. Estas versiones más recientes usan la versión 3.4.21 de etcd. Todas las versiones anteriores de Google Distributed Cloud se ven afectadas por este problema.

Solución alternativa

Si no puedes actualizar de inmediato, puedes mitigar el riesgo de falla del clúster si reduces la cantidad de nodos en él. Quita los nodos hasta que la métrica etcd_network_client_grpc_sent_bytes_total sea inferior a 300 MBps.

Para ver esta métrica en el Explorador de métricas, sigue estos pasos:

1. Ve al Explorador de métricas en la consola de Google Cloud:

   Ir al Explorador de métricas

2. Selecciona la pestaña Configuración.
3. Expande Seleccionar una métrica, ingresa Kubernetes Container en la barra de filtros y, luego, usa los submenús para seleccionar la métrica:
   1. En el menú Recursos activos, selecciona Contenedor de Kubernetes.
   2. En el menú Categorías de métricas activas, elige Anthos.
   3. En el menú Métricas activas, selecciona etcd_network_client_grpc_sent_bytes_total.
   4. Haz clic en Aplicar.

GKE Identity Service puede causar latencias en el plano de control

Cuando se reinician o actualizan los clústeres, GKE Identity Service puede verse sometido a una gran cantidad de tráfico que consiste en tokens JWT vencidos que se reenvían desde kube-apiserver a GKE Identity Service a través del webhook de autenticación. Aunque GKE Identity Service no entra en un bucle de falla, deja de responder y deja de entregar más solicitudes. Este problema genera latencias más altas del plano de control.

Este problema se solucionó en las siguientes versiones de Google Distributed Cloud:

• 1.12.6 y versiones posteriores
• 1.13.6+
• 1.14.2 y versiones posteriores

Para determinar si este problema te afecta, sigue estos pasos:

1. Verifica si se puede acceder al extremo de GKE Identity Service de forma externa:

   curl -s -o /dev/null -w "%{http_code}" \
       -X POST https://CLUSTER_ENDPOINT/api/v1/namespaces/anthos-identity-service/services/https:ais:https/proxy/authenticate -d '{}'

   Reemplaza CLUSTER_ENDPOINT por la VIP del plano de control y el puerto del balanceador de cargas del plano de control de tu clúster (por ejemplo, 172.16.20.50:443).

   Si este problema te afecta, el comando muestra un código de estado 400. Si se agota el tiempo de espera de la solicitud, reinicia el Pod ais y vuelve a ejecutar el comando curl para ver si se resuelve el problema. Si obtienes un código de estado 000, significa que el problema se resolvió y que puedes continuar. Si sigues recibiendo un código de estado 400, el servidor HTTP de GKE Identity Service no se inicia. En este caso, continúa.

2. Verifica los registros de GKE Identity Service y kube-apiserver:
   1. Verifica el registro de GKE Identity Service:

      kubectl logs -f -l k8s-app=ais -n anthos-identity-service \
          --kubeconfig KUBECONFIG

      Si el registro contiene una entrada como la siguiente, significa que te afecta este problema:

      I0811 22:32:03.583448      32 authentication_plugin.cc:295] Stopping OIDC authentication for ???. Unable to verify the OIDC ID token: JWT verification failed: The JWT does not appear to be from this identity provider. To match this provider, the 'aud' claim must contain one of the following audiences:

   2. Verifica los registros de kube-apiserver de tus clústeres:

      En los siguientes comandos, KUBE_APISERVER_POD es el nombre del pod kube-apiserver en el clúster determinado.

      Clúster de administrador:

      kubectl --kubeconfig ADMIN_KUBECONFIG logs \
          -n kube-system KUBE_APISERVER_POD kube-apiserver

      Clúster de usuario

      kubectl --kubeconfig ADMIN_KUBECONFIG logs \
          -n USER_CLUSTER_NAME KUBE_APISERVER_POD kube-apiserver

      Si los registros de kube-apiserver contienen entradas como las siguientes, significa que te afecta este problema:

      E0811 22:30:22.656085       1 webhook.go:127] Failed to make webhook authenticator request: error trying to reach service: net/http: TLS handshake timeout
      E0811 22:30:22.656266       1 authentication.go:63] "Unable to authenticate the request" err="[invalid bearer token, error trying to reach service: net/http: TLS handshake timeout]"

Solución alternativa

Si no puedes actualizar tus clústeres de inmediato para corregir el problema, puedes identificar y reiniciar los pods afectados como solución alternativa:

1. Aumenta el nivel de verbosidad de GKE Identity Service a 9:

   kubectl patch deployment ais -n anthos-identity-service --type=json \
       -p='[{"op": "add", "path": "/spec/template/spec/containers/0/args/-", \
       "value":"--vmodule=cloud/identity/hybrid/charon/*=9"}]' \
       --kubeconfig KUBECONFIG

2. Verifica el registro de GKE Identity Service en busca del contexto de token no válido:

   kubectl logs -f -l k8s-app=ais -n anthos-identity-service \
       --kubeconfig KUBECONFIG

3. Para obtener la carga útil del token asociada con cada contexto de token no válido, analiza cada secreto de cuenta de servicio relacionado con el siguiente comando:

   kubectl -n kube-system get secret SA_SECRET \
       --kubeconfig KUBECONFIG \
       -o jsonpath='{.data.token}' | base64 --decode

4. Para decodificar el token y ver el nombre y el espacio de nombres del pod de origen, cópialo en el depurador en jwt.io.
5. Reinicia los pods identificados a partir de los tokens.

No se realizan las verificaciones de estado de los pods del plano de control del clúster de usuario.

Tanto el controlador de estado del clúster como el comando gkectl diagnose cluster realizan un conjunto de verificaciones de estado, incluidas las verificaciones de estado de los pods en todos los espacios de nombres. Sin embargo, comienza a omitir los pods del plano de control del usuario por error. Si usas el modo de plano de control v2, esto no afectará a tu clúster.

Solución alternativa:

Esto no afectará la administración de cargas de trabajo ni de clústeres. Si deseas verificar el estado de los pods del plano de control, puedes ejecutar los siguientes comandos:

kubectl get pods -owide -n USER_CLUSTER_NAME --kubeconfig ADMIN_CLUSTER_KUBECONFIG

Falla de validación de Seesaw en la creación del balanceador de cargas

gkectl create loadbalancer falla con el siguiente mensaje de error:

- Validation Category: Seesaw LB - [FAILURE] Seesaw validation: xxx cluster lb health check failed: LB"xxx.xxx.xxx.xxx" is not healthy: Get "http://xxx.xxx.xxx.xxx:xxx/healthz": dial tcpxxx.xxx.xxx.xxx:xxx: connect: no route to host

Esto se debe a que el archivo del grupo de Seesaw ya existe. Y la verificación previa intenta validar un balanceador de cargas de balancín inexistente.

Solución alternativa:

Quita el archivo de grupo de Seesaw existente para este clúster. El nombre del archivo es seesaw-for-gke-admin.yaml para el clúster de administrador y seesaw-for-{CLUSTER_NAME}.yaml para un clúster de usuario.

Tiempos de espera de la aplicación causados por fallas en la inserción de tablas de conntrack

La versión 1.14 de Google Distributed Cloud es susceptible a fallas de inserción de tablas de seguimiento de conexiones (conntrack) de netfilter cuando se usan imágenes del sistema operativo Ubuntu o COS. Las fallas de inserción generan tiempos de espera de la aplicación aleatorios y pueden ocurrir incluso cuando la tabla conntrack tiene espacio para entradas nuevas. Las fallas se deben a cambios en el kernel 5.15 y versiones posteriores que restringen las inserciones de tablas según la longitud de la cadena.

Para ver si este problema te afecta, puedes verificar las estadísticas del sistema de seguimiento de conexiones en el kernel en cada nodo con el siguiente comando:

sudo conntrack -S

La respuesta es similar a la que se muestra a continuación:

cpu=0       found=0 invalid=4 insert=0 insert_failed=0 drop=0 early_drop=0 error=0 search_restart=0 clash_resolve=0 chaintoolong=0
cpu=1       found=0 invalid=0 insert=0 insert_failed=0 drop=0 early_drop=0 error=0 search_restart=0 clash_resolve=0 chaintoolong=0
cpu=2       found=0 invalid=16 insert=0 insert_failed=0 drop=0 early_drop=0 error=0 search_restart=0 clash_resolve=0 chaintoolong=0
cpu=3       found=0 invalid=13 insert=0 insert_failed=0 drop=0 early_drop=0 error=0 search_restart=0 clash_resolve=0 chaintoolong=0
cpu=4       found=0 invalid=9 insert=0 insert_failed=0 drop=0 early_drop=0 error=0 search_restart=0 clash_resolve=0 chaintoolong=0
cpu=5       found=0 invalid=1 insert=0 insert_failed=0 drop=0 early_drop=0 error=519 search_restart=0 clash_resolve=126 chaintoolong=0
...