VMware 用 Google Distributed Cloud（ソフトウェアのみ）の既知の問題

不変の masterNode.replicas フィールドが原因で、非 HA ユーザー クラスタを HA 高度なクラスタに更新できない

gkectl update を使用して、非高可用性（非 HA）ユーザー クラスタを HA コントロール プレーンを含む高度なクラスタに更新すると、次のエラー メッセージが表示されて失敗します。

Failed to generate diff summary: failed to get desired onprem user cluster and node pools from seed config with dry-run webhooks:
failed to apply validating webhook to OnPremUserCluster:
masterNode.replcias: Forbidden: the field must not be mutated, diff (-before, +after): int64(- 1,+ 3)

回避策:

gkectl upgrade コマンドを使用して、HA 以外のユーザー クラスタを HA の高度なクラスタにアップグレードします。

無効な TLS 証明書が原因で、ControlPlaneV2 の移行後に Windows Pod が保留状態のままになる

バージョン 1.30.x から 1.31.x への ControlPlaneV2 移行を含む Google Distributed Cloud 更新オペレーション中に、Windows Pod のスケジュール設定が失敗し、Pending 状態のままになることがあります。この問題は、windows-webhook ミューテーション アドミッション Webhook の TLS 証明書の検証エラーとして現れます。この問題は、証明書のサブジェクトの別名（SAN）が、新しい kube-system.svc エンドポイント用に再生成されず、古い Kubeception アーキテクチャで有効な値を誤って保持しているために発生します。

次のエラー メッセージが表示されることがあります。failed calling webhook "windows.webhooks.gke.io": failed to call webhook: Post "https://windows-webhook.kube-system.svc:443/pod?timeout=10s": tls: failed to verify certificate: x509この状況は、ControlPlaneV2 移行プロセスで etcd コンテンツがコピーされ、古い証明書が適切に再生成されずに引き継がれることで発生する可能性があります。Windows ノードプールは非推奨の機能であり、Google Distributed Cloud 1.33 以降のバージョンでは使用できなくなることにご注意ください。

回避策:

1. ユーザー クラスタの Namespace で user-component-options Secret をバックアップします。

       kubectl get secret user-component-options -n USER_CLUSTER_NAME -oyaml > backup.yaml
       

2. user-component-options Secret を削除します。

       kubectl delete secret user-component-options -n USER_CLUSTER_NAME
       

3. onpremusercluster リソースを編集して、onprem.cluster.gke.io/reconcile: "true" アノテーションを追加し、調整をトリガーします。

       kubectl edit onpremusercluster USER_CLUSTER_NAME -n USER_CLUSTER_MGMT_NAMESPACE
       

USER_CLUSTER_NAME は、ユーザー クラスタの名前に置き換えます。

stackdriver が構成されていない場合、高度なクラスタへのアップグレード/更新が失敗する

高度なクラスタ以外のクラスタを高度なクラスタにアップグレードまたは更新するときに、stackdriver が有効になっていないと、プロセスが応答を停止することがあります。

回避策:

• クラスタがまだアップグレードされていない場合は、stackdriver を有効にする手順を行う必要があります。
  1. クラスタ構成ファイルに stackdriver セクションを追加します。
  2. gkectl update を実行して stackdriver を有効にします。
• アップグレードがすでに進行中の場合は、次の手順を行います。
  1. 次のコマンドを使用して、USER_CLUSTER_NAME-gke-onprem-mgmt Namespace の user-cluster-creds Secret を編集します。

     kubectl --kubeconfig ADMIN_KUBECONFIG \
       patch secret user-cluster-creds \
       -n USER_CLUSTER_NAME-gke-onprem-mgmt \
       --type merge -p "{\"data\":{\"stackdriver-service-account-key\":\"$(cat STACKDRIVER_SERVICE_ACCOUNT_KEY_FILE | base64 | tr -d '\n')\"}}"

  2. stackdriver フィールドを使用して OnPremUserCluster カスタム リソースを更新します。この機能を有効にしている場合は、cloudauditlogging と同じプロジェクト、同じプロジェクトのロケーション、同じサービス アカウント キーを使用する必要があります。

     kubectl --kubeconfig ADMIN_KUBECONFIG \
         patch onpremusercluster USER_CLUSTER_NAME \
         -n USER_CLUSTER_NAME-gke-onprem-mgmt --type merge -p '
         spec:
           stackdriver:
             clusterLocation: PROJECT_LOCATION
             providerID: PROJECT_ID
             serviceAccountKey:
               kubernetesSecret:
                 keyName: stackdriver-service-account-key
                 name: user-cluster-creds
     '

  3. 一貫性を保つため、クラスタ構成ファイルに stackdriver セクションを追加します。

Dataplane V2 と制限付きネットワーク ポリシーで Kubernetes API サーバーに接続できない Pod

Control Plane V2（CPv2）アーキテクチャ（バージョン 1.29 以降のデフォルト）と Dataplane V2 を使用するクラスタでは、Pod が Kubernetes API サーバー（kubernetes.default.svc.cluster.local）に接続できないことがあります。この問題は、ネットワーク ポリシー（特にデフォルトの拒否下り（内向き）ルールを含むポリシー）が存在する場合に発生することがよくあります。次のような症状が見られます。

• API サーバーのクラスタ IP アドレスまたはノード IP アドレスへの TCP 接続の試行が Connection reset by peer メッセージになります。
• API サーバーへの接続時の TLS handshake の失敗。
• 影響を受けるノードで cilium monitor -t drop コマンドを実行すると、コントロール プレーン ノードの IP アドレスと API サーバー ポート（通常は 6443）宛てのパケットがドロップされていることがわかります。

原因

この問題は、CPv2 アーキテクチャの Dataplane V2（Cilium ベース）と Kubernetes ネットワーク ポリシーの相互作用によって発生します。このアーキテクチャでは、コントロール プレーン コンポーネントがユーザー クラスタ内のノードで実行されます。デフォルトの Cilium 構成では、コントロール プレーン メンバーのノード IP へのトラフィックを許可することを目的としたネットワーク ポリシーの ipBlock ルールが正しく解釈されません。この問題は、アップストリームの Cilium の問題（cilium#20550）に関連しています。

回避策:

バージョン 1.29、1.30、1.31 では、コントロール プレーン ノードへのトラフィックをブロックする可能性のある制限付きの下り（外向き）ネットワーク ポリシーの使用は避けてください。デフォルトの拒否ポリシーが必要な場合は、すべての下り（外向き）トラフィックに対して広範な許可ルールを追加する必要があります。たとえば、下り（外向き）セクションで to ルールを指定しないことで、すべての下り（外向き）を効果的に許可します。このソリューションはセキュリティが低く、すべての環境に適しているとは限りません。

他のすべてのバージョンでは、Cilium 構成を有効にして、ネットワーク ポリシーの ipBlock フィールドでノード IP を正しく照合します。ネットワーク ポリシーの ipBlock フィールドでノードの IP を照合するには、次の操作を行います。

1. cilium-config ConfigMap を編集します。

   kubectl edit configmap -n kube-system cilium-config

2. policy-cidr-match-mode: nodes を含めるようにデータ セクションを追加または変更します。

   data:
         policy-cidr-match-mode: nodes

3. 構成の変更を適用するには、anetd DaemonSet を再起動します。

   kubectl rollout restart ds anetd -n kube-system

4. Pod から API サーバー ポートのコントロール プレーン ノード IP への下り（外向き）トラフィックを明示的に許可するネットワーク ポリシーがあることを確認します。kubectl get svc kubernetes を実行して、ユーザー クラスタ コントロール プレーン ノードの IP アドレスを特定します。出力は次のようになります。

       apiVersion: networking.k8s.io/v1
       kind: NetworkPolicy
       metadata:
         name: allow-egress-to-kube-apiserver
         namespace: NAMESPACE_NAME
       spec:
         podSelector: {} 
         policyTypes:
         - Egress
         egress:
         - to:
           - ipBlock:
               cidr: CP_NODE_IP_1/32
           - ipBlock:
               cidr: CP_NODE_IP_2/32
           ports:
           - protocol: TCP
             port: 6443 # Kubernetes API Server port on the node
   
       

ユーザー クラスタの作成中に gke-connect エージェント Pod が Pending 状態で停止する

ユーザー クラスタの作成中に、gke-connect エージェント Pod が Pending 状態のままになり、クラスタが完全に作成されないことがあります。この問題は、gke-connect エージェント Pod がワーカーノードが使用可能になる前にスケジュールしようとして、デッドロックが発生するために発生します。

この問題は、プリフライト検証エラーが原因で最初のユーザー クラスタの作成が失敗し、部分的に作成されたリソースを削除せずにクラスタの作成を試みた場合に発生します。その後のクラスタ作成の試行では、コントロール プレーン ノードの容認されない taint により gke-connect エージェント Pod が停止します。次のようなエラーが表示されます。

    0/3 nodes are available: 3 node(s) had untolerated taint {node-role.kubernetes.io/control-plane: }`.
    

回避策:

プリフライト検証エラーが原因でユーザー クラスタの作成に失敗した場合は、部分的に作成されたクラスタ リソースを削除してから、修正した構成でクラスタの再作成を試みます。これにより、gke-connect エージェント Pod がデプロイされる前にノードプールが作成されるなど、作成ワークフローが正しく進行します。

Secret の常時暗号化を無効にしても Secret が暗号化されたままになる

gkectl update cluster でシークレットの常時暗号化を無効にしても、シークレットは暗号化された状態で etcd に保存されます。この問題は、kubeception ユーザー クラスタでのみ発生します。クラスタで Controlplane V2 を使用している場合、この問題の影響を受けません。

シークレットがまだ暗号化されているかどうかを確認するには、次のコマンドを実行します。このコマンドは、etcd に保存されている default/private-registry-creds シークレットを取得します。

kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
    exec -it -n USER_CLUSTER_NAME kube-etcd-0 -c kube-etcd -- \
    /bin/sh -ec "export ETCDCTL_API=3; etcdctl \
    --endpoints=https://127.0.0.1:2379 \
    --cacert=/etcd.local.config/certificates/etcdCA.crt \
    --cert=/etcd.local.config/certificates/etcd.crt \
    --key=/etcd.local.config/certificates/etcd.key \
    get /registry/secrets/default/private-registry-creds" | hexdump -C

Secret が暗号化されて保存されている場合、出力は次のようになります。

00000000  2f 72 65 67 69 73 74 72  79 2f 73 65 63 72 65 74  |/registry/secret|
00000010  73 2f 64 65 66 61 75 6c  74 2f 70 72 69 76 61 74  |s/default/privat|
00000020  65 2d 72 65 67 69 73 74  72 79 2d 63 72 65 64 73  |e-registry-creds|
00000030  0d 0a 6b 38 73 3a 65 6e  63 3a 6b 6d 73 3a 76 31  |..k8s:enc:kms:v1|
00000040  3a 67 65 6e 65 72 61 74  65 64 2d 6b 65 79 2d 6b  |:generated-key-k|
00000050  6d 73 2d 70 6c 75 67 69  6e 2d 31 3a 00 89 65 79  |ms-plugin-1:..ey|
00000060  4a 68 62 47 63 69 4f 69  4a 6b 61 58 49 69 4c 43  |JhbGciOiJkaXIiLC|
...

Secret が暗号化されて保存されていない場合、出力は次のようになります。

00000000  2f 72 65 67 69 73 74 72  79 2f 73 65 63 72 65 74  |/registry/secret|
00000010  73 2f 64 65 66 61 75 6c  74 2f 70 72 69 76 61 74  |s/default/privat|
00000020  65 2d 72 65 67 69 73 74  72 79 2d 63 72 65 64 73  |e-registry-creds|
00000030  0d 0a 6b 38 73 00 0d 0a  0c 0d 0a 02 76 31 12 06  |..k8s.......v1..|
00000040  53 65 63 72 65 74 12 83  47 0d 0a b0 2d 0d 0a 16  |Secret..G...-...|
00000050  70 72 69 76 61 74 65 2d  72 65 67 69 73 74 72 79  |private-registry|
00000060  2d 63 72 65 64 73 12 00  1a 07 64 65 66 61 75 6c  |-creds....defaul|
...

回避策:

1. 次のように、特定の DaemonSet でローリング アップデートを行います。

       kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
         rollout restart statefulsets kube-apiserver \
         -n USER_CLUSTER_NAME
       

2. ユーザー クラスタ内のすべての Secret のマニフェストを YAML 形式で取得します。

       kubectl --kubeconfig USER_CLUSTER_KUBECONFIG \
         get secrets -A -o yaml > SECRETS_MANIFEST.yaml
       

3. ユーザー クラスタ内のすべての Secret を再適用して、すべての Secret が平文として etcd に保存されるようにします。

       kubectl --kubeconfig USER_CLUSTER_KUBECONFIG \
         apply -f SECRETS_MANIFEST.yaml
       

生成された user-cluster.yaml ファイルに hostgroups フィールドがない

gkectl get-config コマンドで生成されたユーザー クラスタの構成ファイル user-cluster.yaml の nodePools セクションに、hostgroups フィールドがありません。gkectl get-config コマンドは、OnPremUserCluster カスタム リソースの内容に基づいて user-cluster.yaml ファイルを生成します。ただし、nodePools[i].vsphere.hostgroups フィールドは OnPremNodePool カスタム リソースに存在し、gkectl get-config の実行時に user-cluster.yaml ファイルにコピーされません。

回避策

この問題を解決するには、user-cluster.yaml ファイルに nodePools[i].vsphere.hostgroups フィールドを手動で追加します。編集したファイルは、次の例のようになります。

apiVersion: v1
kind: UserCluster
...
nodePools:
- name: "worker-pool-1"
  enableLoadBalancer: true
  replicas: 3
  vsphere:
    hostgroups:
    - "hostgroup-1"
...

編集したユーザー クラスタ構成ファイルを使用して、エラーをトリガーせずにユーザー クラスタを更新できます。また、hostgroups フィールドは保持されます。

バンドルされた Ingress は gateway.networking.k8s.io リソースと互換性がありません

gateway.networking.k8s.io リソースがユーザー クラスタにインストールされている場合、バンドルされた Ingress の Istiod Pod は準備完了になりません。Pod ログに次のエラー メッセージが表示されることがあります。

    failed to list *v1beta1.Gateway: gateways.gateway.networking.k8s.io is forbidden: User \"system:serviceaccount:gke-system:istiod-service-account\" cannot list resource \"gateways\" in API group \"gateway.networking.k8s.io\" at the cluster scope"
    

回避策:

次の ClusterRole と ClusterRoleBinding をユーザー クラスタに適用します。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: istiod-gateway
rules:
- apiGroups:
  - 'gateway.networking.k8s.io'
  resources:
  - '*'
  verbs:
  - get
  - list
  - watch
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: istiod-gateway-binding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: istiod-gateway
subjects:
- kind: ServiceAccount
  name: istiod-service-account
  namespace: gke-system
    

gkectl create admin の実行後に管理クラスタのコントロール プレーン ノードが再起動を繰り返す

ipblocks フィールドのホスト名に大文字が含まれている場合、管理クラスタのコントロール プレーン ノードが何度も再起動する可能性があります。

回避策:

ホスト名では小文字のみを使用します。

gkeadm create または upgrade の実行後に Runtime: out of memory エラーとなる

gkeadm コマンドを使用して管理ワークステーションを作成またはアップグレードした際に、ダウンロードした OS イメージを検証すると OOM エラーが発生することがあります。

以下に例を示します。

Downloading OS image
"gs://gke-on-prem-release/admin-appliance/1.30.400-gke.133/gke-on-prem-admin-appliance-vsphere-1.30.400-gke.133.ova"...

[==================================================>] 10.7GB/10.7GB

Image saved to
/anthos/gke-on-prem-admin-appliance-vsphere-1.30.400-gke.133.ova

Verifying image gke-on-prem-admin-appliance-vsphere-1.30.400-gke.133.ova...
|

runtime: out of memory

回避策:

非 HA 管理クラスタのアップグレードが Creating or updating cluster control plane workloads で停止する

非 HA 管理クラスタをアップグレードすると、アップグレードが Creating or updating cluster control plane workloads で停止することがあります。

この問題は、管理マスター VM で ip a | grep cali が空でない結果を返す場合に発生します。

以下に例を示します。

ubuntu@abf8a975479b-qual-342-0afd1d9c ~ $ ip a | grep cali
4: cali2251589245f@if3:  mtu 1500 qdisc noqueue state UP group default

回避策:

1. 管理マスターを修復します。

   gkectl repair admin-master --kubeconfig=ADMIN_KUBECONFIG \
       --config=ADMIN_CONFIG_FILE \
       --skip-validation
   

2. 次のようなプロンプトが表示された場合は、1.30 VM テンプレートを選択します。

   Please select the control plane VM template to be used for re-creating the
   admin cluster's control plane VM.
   

3. アップグレードを再開します。

   gkectl upgrade admin --kubeconfig ADMIN_KUBECONFIG \
       --config ADMIN_CONFIG_FILE
   

network.controlPlaneIPBlock のクラスタ構成ファイル内の isControlPlane フィールドが冗長

1.31.0 の gkectl create-config によって生成されたクラスタ構成ファイルには、network.controlPlaneIPBlock の下に冗長な isControlPlane フィールドが含まれています。

    controlPlaneIPBlock:
    netmask: ""
    gateway: ""
    ips:
    - ip: ""
      hostname: ""
      isControlPlane: false
    - ip: ""
      hostname: ""
      isControlPlane: false
    - ip: ""
      hostname: ""
      isControlPlane: false
    

このフィールドは不要であるため、構成ファイルから安全に削除できます。

非 HA から HA への管理クラスタの移行中に管理アドオンノードが NotReady のままになる

MetalLB を使用する非 HA 管理クラスタを HA に移行すると、管理アドオンノードが NotReady ステータスで停止し、移行が完了しないことがあります。

この問題は、MetalLB で構成され、自動修復が有効になっていない管理クラスタにのみ影響します。

この問題は、移行中に MetalLB スピーカーが古い metallb-memberlist シークレットをまだ使用している競合状態が原因で発生します。競合状態の結果、古いコントロール プレーン VIP にアクセスできなくなり、移行が停止します。

回避策:

1. 既存の metallb-memberlist Secret を削除します。

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n kube-system \
       delete secret metallb-memberlist
   

2. metallb-controller Deployment を再起動して、新しい metallb-memberlist を生成できるようにします。

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n kube-system \
       rollout restart deployment metallb-controller
   

3. 新しい metallb-memberlist が生成されていることを確認します。

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n kube-system \
       get secret metallb-memberlist
   

4. metallb-speaker DaemonSet の updateStrategy.rollingUpdate.maxUnavailable を 1 から 100% に更新します。

   この手順は、特定の DaemonSet Pod が NotReady ノードで実行されているため必要です。

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n kube-system \
       edit daemonset metallb-speaker
   

5. metallb-speaker DaemonSet を再起動して、新しいメンバーリストを読み込みます。

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n kube-system \
       rollout restart daemonset metallb-speaker
   

   数分後、管理アドオンノードが再び Ready になり、移行を続行できます。

6. 最初の gkectl コマンドが 3 時間以上経過した後にタイムアウトした場合は、gkectl update を再実行して、失敗した移行を再開します。

データストアとデータディスクの名前が長いため非 HA 管理クラスタのクラスタ バックアップが失敗する

非 HA 管理クラスタのバックアップを試みると、データストア名とデータディスク名の合計長が最大文字数を超えているため、バックアップが失敗します。

データストア名の最大文字数は 80 です。
非 HA 管理クラスタのバックアップ パスの命名構文は「__」です。そのため、連結された名前の最大文字数を超えると、バックアップ フォルダの作成は失敗します。

回避策:

データストアまたはデータディスクの名前を短いものに変更します。
データストア名とデータディスク名の合計長が最大文字数を超えないようにします。

gkectl repair admin-master の実行後に HA 管理コントロール プレーン ノードに古いバージョンが表示される

gkectl repair admin-master コマンドを実行すると、想定されるバージョンよりも古いバージョンが管理コントロール プレーン ノードに表示されることがあります。

この問題は、HA 管理コントロール プレーン ノードの修復に使用されるバックアップ VM テンプレートが、アップグレード後に vCenter で更新されないために発生します。これは、マシン名が変更されない場合、マシンの作成時にバックアップ VM テンプレートがクローン作成されないためです。

回避策:

1. 古い Kubernetes バージョンを使用しているマシン名を確認します。

       kubectl get machine -o wide --kubeconfig=ADMIN_KUBECONFIG
       

2. onprem.cluster.gke.io/prevented-deletion アノテーションを削除します。

       kubectl edit machine MACHINE_NAME --kubeconfig=ADMIN_KUBECONFIG
       

   編集内容を保存します。

3. 次のコマンドを実行して、マシンを削除します。

       kubectl delete machine MACHINE_NAME --kubeconfig=ADMIN_KUBECONFIG
       

   正しいバージョンで新しいマシンが作成されます。

Terraform が vCenter フィールドを予期せず削除する

Terraform を使用してユーザー クラスタまたはノードプールを更新すると、Terraform が vCenter フィールドを空の値に設定しようとする場合があります。

この問題は、クラスタが Terraform を使用して作成されていない場合に発生することがあります。

回避策:

予期しない更新を防ぐには、次の説明に沿って、terraform apply を実行する前に更新が安全であることを確認してください。

1. terraform plan を実行します。
2. 出力で、vCenter フィールドが nil に設定されているかどうかを確認します。
3. Terraform 構成で vCenter フィールドが空の値に設定されている場合は、Terraform ドキュメントに沿って、ignore_changes リストに vcenter を追加します。これにより、これらのフィールドの更新を防ぐことができます。
4. terraform plan を再度実行し、出力を確認して、更新が想定どおりであることを確認します。

最初の管理クラスタの更新オペレーション中にユーザー クラスタのコントロール プレーン ノードが常に再起動される

kubeception ユーザー クラスタのコントロール プレーン ノードが作成、更新、アップグレードされると、影響を受けるバージョンのいずれかで管理クラスタが作成またはアップグレードされた最初の管理クラスタ オペレーション中に、コントロール プレーン ノードが 1 つずつ再起動されます。コントロール プレーン ノードが 3 つある kubeception クラスタの場合、これによりコントロール プレーンのダウンタイムが発生することはありません。影響は、管理クラスタ オペレーションに時間がかかることだけです。

カスタム リソースの作成エラー

Google Distributed Cloud バージョン 1.31 では、クラスタ（すべてのタイプ）やワークロードなどのカスタム リソースを作成しようとすると、エラーが発生することがあります。この問題は、Kubernetes 1.31 で導入された破壊的変更が原因で発生します。この変更により、カスタム リソース定義の caBundle フィールドが有効な状態から無効な状態に移行できなくなります。この変更の詳細については、Kubernetes 1.31 の変更ログをご覧ください。

Kubernetes 1.31 より前は、以前の Kubernetes バージョンでは API サーバーで空の CA バンドル コンテンツが許可されていなかったため、caBundle フィールドは \n の一時的な値に設定されることがよくありました。cert-manager は通常 caBundle を後で更新するため、\n を使用することは、混乱を避けるための妥当な回避策でした。

caBundle が無効な状態から有効な状態に一度パッチ適用されていれば、問題は発生しません。ただし、カスタム リソース定義が \n（または別の無効な値）に調整されると、次のエラーが発生する可能性があります。

...Invalid value: []byte{0x5c, 0x6e}: unable to load root certificates: unable to parse bytes as PEM block]

回避策

caBundle が無効な値に設定されているカスタム リソース定義がある場合は、caBundle フィールドを完全に削除しても安全です。これで問題が解決するはずです。

cloud-init status が常にエラーを返す

Container Optimized OS（COS）OS イメージを使用するクラスタを 1.31 にアップグレードすると、cloud-init はエラーなく完了しても、cloud-init status コマンドが失敗します。

回避策:

次のコマンドを実行して、cloud-init のステータスを確認します。

    systemctl show -p Result cloud-final.service
    

出力が次のようになると、cloud-init は正常に完了しています。

    Result=success
    

ディスクサイズが 100 GB 未満で 1.28 にアップグレードすると、管理ワークステーションのプリフライト チェックが失敗する

クラスタを 1.28 にアップグレードすると、管理ワークステーションのディスクサイズが 100 GB 未満の場合、管理ワークステーションのプリフライト チェックの実行中に gkectl prepare コマンドが失敗します。この場合、コマンドから次のようなエラー メッセージが表示されます。

    Workstation Hardware: Workstation hardware requirements are not satisfied
    

1.28 では、管理ワークステーションのディスクサイズの前提条件が 50 GB から 100 GB に引き上げられました。

回避策:

1. 管理ワークステーションをロールバックします。
2. 管理ワークステーションの構成ファイルを更新して、ディスクサイズを 100 GB 以上に引き上げます。
3. 管理ワークステーションをアップグレードします。

gkectl が netapp storageclass で false エラーを返す

gkectl upgrade コマンドが、netapp storageclass に関する間違ったエラーを返します。次のようなエラー メッセージが表示されます。

    detected unsupported drivers:
      csi.trident.netapp.io
    

回避策:

「--skip-pre-upgrade-checks」フラグを使用して gkectl upgrade を実行します。

ClientConfig でクラスタ CA のローテーション後に無効な CA 証明書が原因でクラスタ認証が妨げられる

ユーザー クラスタで認証局（CA）証明書をローテーションした後に、ClientConfig の spec.certificateAuthorityData フィールドに無効な CA 証明書が含まれ、クラスタの認証ができなくなります。

回避策:

次回、gcloud CLI で認証する前に、ClientConfig の spec.certificateAuthorityData フィールドを正しい CA 証明書を使用して手動で更新します。

1. 管理クラスタ kubeconfig の certificate-authority-data フィールドからクラスタ CA 証明書をコピーします。
2. ClientConfig を編集し、CA 証明書を spec.certificateAuthorityData フィールドに貼り付けます。

       kubectl edit clientconfig default -n kube-public --kubeconfig USER_CLUSTER_KUBECONFIG
       

バンドルされた Ingress を無効にするとプリフライト チェックが失敗する

クラスタ構成ファイルの loadBalancer.vips.ingressVIP フィールドを削除してバンドルされた Ingress を無効にすると、MetalLB プリフライト チェックのバグにより、クラスタの更新が失敗し、「invalid user ingress vip: invalid IP」というエラー メッセージが表示されます。

回避策:

このエラー メッセージは無視してください。
次のいずれかの方法でプリフライト チェックをスキップしてください。

• gkectl update cluster コマンドに --skip-validation-load-balancer フラグを追加します。
• onpremusercluster オブジェクトに onprem.cluster.gke.io/server-side-preflight-skip: skip-validation-load-balancer でアノテーションを付けます
。

vCenter にアンチアフィニティ グループ ルールがないことが原因で、クラスタのアップグレードが失敗する

クラスタのアップグレード時、vCenter にアンチアフィニティ グループ（AAG）ルールがないことが原因で、マシン オブジェクトが「作成中」フェーズで停止し、ノード オブジェクトへのリンクに失敗することがあります。

問題のあるマシン オブジェクトを記述すると、「Reconfigure DRS rule task "task-xxxx" complete」のようなメッセージが繰り返し表示されます。

    kubectl --kubeconfig KUBECONFIG describe machine MACHINE_OBJECT_NAME
    

回避策:

管理クラスタ構成とユーザー クラスタ構成の両方でアンチ アフィニティ グループ設定を無効にし、更新の強制実行コマンドをトリガーしてクラスタ アップグレードのブロックを解除します。

    gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig ADMIN_CLUSTER_KUBECONFIG --force
    

    gkectl update cluster --config USER_CLUSTER_CONFIG_FILE --kubeconfig USER_CLUSTER_KUBECONFIG --force
    

シークレットの暗号化が有効になっている場合、ユーザー クラスタの Controlplane V2 への移行が失敗する

ユーザー クラスタを Controlplane V2 に移行するときに、常時有効なシークレット暗号化が有効になっている場合、移行プロセスでシークレット暗号鍵が正しく処理されません。この問題により、新しい Controlplane V2 クラスタではシークレットを復号できません。次のコマンドの出力が空でない場合、常時有効なシークレット暗号化がいずれかの時点で有効になっているため、クラスタはこの問題の影響を受けます。

    kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
      get onpremusercluster USER_CLUSTER_NAME \
      -n USER_CLUSTER_NAME-gke-onprem-mgmt \
      -o jsonpath={.spec.secretsEncryption}
    

移行をすでに開始していて、移行に失敗した場合は、Google にサポートを依頼してください。それ以外の場合は、移行前に常時有効なシークレット暗号化を無効にしてシークレットを復号します。

シークレットの暗号化が有効になっている場合、非 HA から HA への管理クラスタの移行が失敗する

1.14 以前の管理クラスタで常時有効なシークレット暗号化が有効になっており、影響を受ける 1.29 バージョンと 1.30 バージョンにアップグレードした場合、管理クラスタを非 HA から HA に移行すると、移行プロセスでシークレット暗号鍵が正しく処理されません。この問題により、新しい HA 管理クラスタでシークレットを復号できません。

古い形式のキーがクラスタで使用されているかどうかを確認するには、次のコマンドを実行します。

    kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG get secret -n kube-system admin-master-component-options -o jsonpath='{.data.data}' | base64 -d | grep -oP '"GeneratedKeys":\[.*?\]'
    

出力に次のような空のキーが表示される場合、クラスタはこの問題の影響を受ける可能性があります。

    "GeneratedKeys":[{"KeyVersion":"1","Key":""}]
    

移行をすでに開始していて、移行に失敗した場合は、Google にサポートを依頼してください。

それ以外の場合は、移行を開始する前に暗号鍵をローテーションします。

管理ワークステーションのアップグレード中に credential.yaml が誤って再生成される

gkeadm upgrade admin-workstation コマンドを使用して管理ワークステーションをアップグレードすると、credential.yaml ファイルが正しく再生成されません。ユーザー名とパスワードのフィールドが空白になります。また、privateRegistry キーにスペルミスがあります。

privateRegistry キーの同じスペルミスが admin-cluster.yaml ファイルにも存在します。
credential.yaml ファイルは管理クラスタのアップグレード プロセス中に再生成されるため、修正したとしてもスペルミスが残ります。

回避策:

• credential.yaml の非公開レジストリキー名を更新して、admin-cluster.yaml の privateRegistry.credentials.fileRef.entry と一致させます。
• credential.yaml で非公開レジストリのユーザー名とパスワードを更新します。

アップグレード前の調整のタイムアウトが原因でユーザー クラスタのアップグレードが失敗する

ユーザー クラスタをアップグレードするときに、アップグレード前の調整オペレーションが定義されたタイムアウトより長くかかり、アップグレードが失敗することがあります。次のようなエラー メッセージが表示されます。

Failed to reconcile the user cluster before upgrade: the pre-upgrade reconcile failed, error message:
failed to wait for reconcile to complete: error: timed out waiting for the condition,
message: Cluster reconcile hasn't finished yet, please fix that before
rerun the upgrade.

アップグレード前の調整オペレーションのタイムアウトは、5 分間と、ユーザー クラスタのノードプールごとに 1 分間です。

回避策:

gkectl diagnose cluster コマンドがエラーなしで合格することを確認します。
gkectl upgrade cluster コマンドに --skip-reconcile-before-preflight フラグを追加して、アップグレード前の調整オペレーションをスキップします。例:

gkectl upgrade cluster --skip-reconcile-before-preflight --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
--config USER_CLUSTER_CONFIG_FILE

DataplaneV2 ForwardMode の更新で anetd DaemonSet の再起動が自動的にトリガーされない

gkectl update cluster を使用してユーザー クラスタの dataplaneV2.forwardMode フィールドを更新すると、変更は ConfigMap でのみ更新されます。anetd DaemonSet は、再起動されるまで構成変更を取得せず、変更は適用されません。

回避策:

gkectl update cluster コマンドが完了すると、Done updating the user cluster の出力が表示されます。このメッセージが表示されたら、次のコマンドを実行して anetd DaemonSet を再起動し、構成変更を取得します。

kubectl --kubeconfig USER_CLUSTER_KUBECONFIG rollout restart daemonset anetd

再起動後に DaemonSet の準備状況を確認します。

kubectl --kubeconfig USER_CLUSTER_KUBECONFIG get daemonset anetd

上記のコマンドの出力で、DESIRED 列の番号が READY 列の番号と一致することを確認します。

クラスタのアップグレード中に、管理クラスタのバックアップ ステージで etcdctl コマンドが見つからない

1.16 から 1.28 へのユーザー クラスタのアップグレード中に、管理クラスタがバックアップされます。管理クラスタのバックアップ プロセスで、「etcdctl: command not found」というエラー メッセージが表示されます。ユーザー クラスタのアップグレードが成功し、管理クラスタが正常な状態を維持します。唯一の問題は、管理クラスタのメタデータ ファイルがバックアップされていないことです。

この問題は、etcdctl バイナリが 1.28 で追加され、1.16 ノードで使用できないことが原因です。

管理クラスタのバックアップには、etcd のスナップショットを取得してから、管理クラスタのメタデータ ファイルを書き込むなどの複数のステップが含まれます。etcd Pod への exec 後に etcdctl をトリガーできるため、etcd バックアップは継続します。しかし、メタデータ ファイルの書き込みは、ノードにインストールされる etcdctl バイナリに依存するため、この処理は失敗します。ただし、メタデータ ファイルのバックアップが失敗しても、バックアップの妨げにはなりません。したがって、ユーザー クラスタのアップグレードと同様に、バックアップ プロセスは成功します。

回避策:

メタデータ ファイルのバックアップを作成する場合、gkectl を使用して管理クラスタをバックアップして復元するの説明に従って、管理クラスタのバージョンと一致するバージョンの gkectl を使用して、別の管理クラスタ バックアップをトリガーします。

手動ロード バランシングを使用したユーザー クラスタの作成が失敗する

手動ロード バランシング用に構成されたユーザー クラスタを作成すると、バンドルされた Ingress が無効になっている場合でも、ingressHTTPNodePort 値が 30,000 以上である必要があることを示す gkectl check-config エラーが発生します。

この問題は、ingressHTTPNodePort フィールドと ingressHTTPSNodePort フィールドが設定されているかどうかに関係なく発生します。

回避策:

この問題を回避するには、gkectl check-config から返された結果を無視します。バンドルされた Ingress を無効にするには、バンドルされた Ingress を無効にするをご覧ください。

ユーザー クラスタを Controlplane V2 に移行した後、管理クラスタの metrics-server PDB が正しく構成されない

PodDisruptionBudget（PDB）の問題は、高可用性（HA）管理クラスタを使用しているときに発生します。移行後にロールのない管理クラスタノードが 0 個または 1 個あります。ロールのないノード オブジェクトがあるかどうか確認するには、次のコマンドを実行します。

kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG get nodes -o wide

移行後にロールのないノード オブジェクトが複数ある場合、PDB の構成が正しくありません。

症状:

admin cluster diagnose の出力には、次の情報が含まれます。

Checking all poddisruptionbudgets...FAILURE
  Reason: 1 pod disruption budget error(s).
  Unhealthy Resources:
  PodDisruptionBudget metrics-server: gke-managed-metrics-server/metrics-server might be configured incorrectly: the total replicas(1) should be larger than spec.MinAvailable(1).

回避策:

次のコマンドを実行して PDB を削除します。

kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG delete pdb metrics-server -n gke-managed-metrics-server

Binary Authorization ウェブブックが CNI プラグインをブロックするため、nodepool の 1 つが起動しない

まれな競合状態で Binary Authorization Webhook と gke-connect Pod のインストール順序が正しくないため、ノードが準備完了状態にならず、ユーザー クラスタの作成が停止することがあります。影響を受けるシナリオでは、ノードが準備完了状態にならないことが原因で、ユーザー クラスタの作成が停止することがあります。この場合、次のメッセージが表示されます。

     Node pool is not ready: ready condition is not true: CreateOrUpdateNodePool: 2/3 replicas are ready
    

回避策:

1. 構成ファイルから Binary Authorization 構成を削除します。設定手順については、GKE on VMware での Binary Authorization の Day 2 インストール ガイドをご覧ください。
2. 現在のクラスタ作成プロセス中に異常なノードのブロックを解除するには、次のコマンドを使用して、ユーザー クラスタ内の Binary Authorization Webhook 構成を一時的に削除します。

           kubectl --kubeconfig USER_KUBECONFIG delete ValidatingWebhookConfiguration binauthz-validating-webhook-configuration
           

   ブートストラップ プロセスが完了したら、次の Webhook 構成を再度追加できます。

   apiVersion: admissionregistration.k8s.io/v1
   kind: ValidatingWebhookConfiguration
   metadata:
     name: binauthz-validating-webhook-configuration
   webhooks:
   - name: "binaryauthorization.googleapis.com"
     namespaceSelector:
       matchExpressions:
       - key: control-plane
         operator: DoesNotExist
     objectSelector:
       matchExpressions:
       - key: "image-policy.k8s.io/break-glass"
         operator: NotIn
         values: ["true"]
     rules:
     - apiGroups:
       - ""
       apiVersions:
       - v1
       operations:
       - CREATE
       - UPDATE
       resources:
       - pods
       - pods/ephemeralcontainers
     admissionReviewVersions:
     - "v1beta1"
     clientConfig:
       service:
         name: binauthz
         namespace: binauthz-system
         path: /binauthz
       # CA Bundle will be updated by the cert rotator.
       caBundle: Cg==
     timeoutSeconds: 10
     # Fail Open
     failurePolicy: "Ignore"
     sideEffects: None
           

deletionTimestamp でミラーリングされたマシンが原因で CPV2 ユーザー クラスタのアップグレードが停止する

ユーザー クラスタのアップグレード中に、ユーザー クラスタ内にミラーリングされたマシン オブジェクトに deletionTimestamp が含まれていると、アップグレード オペレーションが停止することがあります。アップグレードが停止した場合、次のエラー メッセージが表示されます。

    machine is still in the process of being drained and subsequently removed
    

この問題は、以前にユーザー クラスタ内にミラーリングされたマシンに gkectl delete machine を実行して、ユーザー コントロール プレーン ノードの修復を試みた場合に発生することがあります。

回避策:

1. ミラーリングされたマシン オブジェクトを取得し、バックアップのためにローカル ファイルに保存します。
2. 次のコマンドを実行して、ミラーリングされたマシンからファイナライザを削除し、ユーザー クラスタから削除されるまで待ちます。

       kubectl --kubeconfig ADMIN_KUBECONFIG patch machine/MACHINE_OBJECT_NAME -n USER_CLUSTER_NAME-gke-onprem-mgmt -p '{"metadata":{"finalizers":[]}}' --type=merge

3. Controlplane V2 ユーザー クラスタのコントロール プレーン ノードの手順に沿って、コントロール プレーン ノードでノードの修復をトリガーし、正しいソースマシン仕様がユーザー クラスタに再同期されるようにします。
4. gkectl upgrade cluster を再実行して、アップグレードを再開します。

異なるサブネットにあるコントロール プレーン VIP が原因でクラスタの作成に失敗する

HA 管理クラスタまたは ControlPlane V2 ユーザー クラスタの場合、コントロール プレーン VIP は他のクラスタノードと同じサブネットに存在する必要があります。そうでないと、kubelet はコントロール プレーン VIP を使用して API サーバーと通信できないため、クラスタの作成に失敗します。

回避策:

クラスタを作成する前に、コントロール プレーン VIP が他のクラスタノードと同じサブネットに構成されていることを確認します。

FQDN 以外の vCenter ユーザー名を使用すると、クラスタの作成またはアップグレードに失敗する

クラスタの作成 / アップグレードが失敗し、vCenter ユーザー名が無効であることを示す vsphere CSI Pod のエラーが表示されます。これは、使用されているユーザー名が完全修飾ドメイン名ではないためです。vsphere-csi-controller Pod のエラー メッセージは次のとおりです。

    GetCnsconfig failed with err: username is invalid, make sure it is a fully qualified domain username
    

この問題は、完全修飾ドメインのユーザー名の使用を強制する検証が vSphere CSI ドライバに追加されたバージョン 1.29 以降でのみ発生します。

回避策:

認証情報構成ファイルの vCenter ユーザー名に完全修飾ドメイン名を使用します。たとえば、username1 ではなく、username1@example.com を使用します。

バージョン 1.10 以前で作成されたクラスタで、管理クラスタのアップグレードに失敗する

管理クラスタを 1.16 から 1.28 にアップグレードすると、新しい管理マスターマシンのブートストラップ中にコントロール プレーン証明書を生成できない場合があります。この問題は、バージョン 1.28 以降の Kubernetes API サーバーで証明書の生成方法が変更されたことが原因で発生します。この問題は、バージョン 1.10 以前で作成されたクラスタを、リーフ証明書をローテーションしないまま 1.16 までアップグレードすると発生します。

管理クラスタのアップグレード失敗の原因が、この問題であるかどうかを判断するには、次の操作を行います。

1. SSH を使用して、アップグレードに失敗した管理マスターマシンに接続します。
2. /var/log/startup.log を開いて、次のようなエラーを検索します。

Error adding extensions from section apiserver_ext
801B3213B57F0000:error:1100007B:X509 V3 routines:v2i_AUTHORITY_KEYID:unable to get issuer keyid:../crypto/x509/v3_akid.c:177:
801B3213B57F0000:error:11000080:X509 V3 routines:X509V3_EXT_nconf_int:error in extension:../crypto/x509/v3_conf.c:48:section=apiserver_ext, name=authorityKeyIdentifier, value=keyid>
   

回避策:

1. SSH を使用して、管理マスターマシンに接続します。詳細については、SSH を使用した管理クラスタノードへの接続をご覧ください。
2. /etc/startup/pki-yaml.sh のコピーを作成して /etc/startup/pki-yaml-copy.sh という名前を付けます。
3. /etc/startup/pki-yaml-copy.sh を編集します。apiserver_ext、client_ext、etcd_server_ext、kubelet_server_ext の拡張機能のセクションで authorityKeyIdentifier=keyidset を見つけて、authorityKeyIdentifier=keyid,issuer に変更します。例:

         [ apiserver_ext ]
         keyUsage = critical, digitalSignature, keyEncipherment
         extendedKeyUsage=serverAuth
         basicConstraints = critical,CA:false
         authorityKeyIdentifier = keyid,issuer
         subjectAltName = @apiserver_alt_names
   

4. 変更を /etc/startup/pki-yaml-copy.sh に保存します。
5. テキスト エディタを使用して /opt/bin/master.sh を開き、/etc/startup/pki-yaml.sh が含まれるすべての箇所を /etc/startup/pki-yaml-copy.sh に置き換えて保存します。
6. /opt/bin/master.sh を実行して証明書を生成し、マシンの起動を完了します。
7. gkectl upgrade admin を再度実行して、管理クラスタをアップグレードします。
8. アップグレードが完了したら、ローテーションを開始するの説明に従って、管理クラスタとユーザー クラスタの両方のリーフ証明書をローテーションします。
9. 証明書のローテーションが完了したら、前と同じ手順で /etc/startup/pki-yaml-copy.sh を編集し、/opt/bin/master.sh を実行します。

Dataplane V2 が有効になっているクラスタで、誤った警告メッセージが表示される

すでに Dataplane V2 が有効になっているクラスタの作成、更新、アップグレードを gkectl を使用して実行すると、次のような誤った警告メッセージが出力されます。

WARNING: Your user cluster is currently running our original architecture with
[DataPlaneV1(calico)]. To enable new and advanced features we strongly recommend
to update it to the newer architecture with [DataPlaneV2] once our migration
tool is available.

これは gkectl のバグです。クラスタの構成ファイルで enableDataplaneV2: true が設定されていても、dataplaneV2.forwardMode が使用されていないとこの警告が常に表示されます。

回避策:

この警告は無視してかまいません。

HA 管理クラスタのインストールのプリフライト チェックで、必要な静的 IP の数が正しく報告されない

HA 管理クラスタを作成する際のプリフライト チェックで、次のような誤ったエラー メッセージが表示されます。

- Validation Category: Network Configuration
    - [FAILURE] CIDR, VIP and static IP (availability and overlapping): needed
    at least X+1 IP addresses for admin cluster with X nodes

1.28 以降の HA 管理クラスタにはアドオンノードがないため、この要件は該当しません。また、3 つの管理クラスタ コントロール プレーン ノードの IP は、管理クラスタの構成ファイルの network.controlPlaneIPBlock セクションに指定されているため、IP ブロック ファイルの IP は kubeception ユーザー クラスタ コントロール プレーン ノードにのみ必要です。

回避策:

修正されていないリリースで適切でないプリフライト チェックをスキップするには、gkectl コマンドに --skip-validation-net-config を追加します。

管理クラスタを非 HA から HA に移行した後、Connect Agent が Google Cloud が接続できなくなる

管理クラスタを非 HA から HA に移行すると、管理クラスタの Connect Agent が gkeconnect.googleapis.com との接続を失い、「Failed to verify JWT signature」というエラーが表示されます。これは、移行中に KSA 署名鍵が変更されるため、OIDC JWK を更新するために再登録が必要になるためです。

回避策:

管理クラスタを Google Cloudに再接続するには、次の手順で再登録をトリガーします。

まず、gke-connect Deployment の名前を取得します。

kubectl --kubeconfig KUBECONFIG get deployment -n gke-connect

gke-connect デプロイを削除します。

kubectl --kubeconfig KUBECONFIG delete deployment GKE_CONNECT_DEPLOYMENT -n gke-connect

onpremadmincluster CR に force-reconcile アノテーションを追加して、onprem-admin-cluster-controller の強制調整をトリガーします。

kubectl --kubeconfig KUBECONFIG patch onpremadmincluster ADMIN_CLUSTER_NAME -n kube-system --type merge -p '
metadata:
  annotations:
    onprem.cluster.gke.io/force-reconcile: "true"
'

使用可能な既存の gke-connect Deployment が見つからない場合は、onprem-admin-cluster-controller が常に gke-connect Deployment を再デプロイし、クラスタを再登録します。

回避策を実施した後、gke-connect-agent ログから「Failed to verify JWT signature」400 エラーが消えているはずです（コントローラが調整を完了するまでに数分かかる場合があります）。

kubectl --kubeconfig KUBECONFIG logs GKE_CONNECT_POD_NAME -n gke-connect

Docker ブリッジ IP で COS クラスタのコントロール プレーン ノードに 172.17.0.1/16 が使用される

Google Distributed Cloud は、デフォルトの 172.17.0.1/16 サブネットの予約を防ぐため、Docker 構成で Docker ブリッジ IP 専用のサブネット --bip=169.254.123.1/24 を指定します。ただし、バージョン 1.28.0～1.28.500 と 1.29.0 では、COS OS イメージの回帰により、Google Distributed Cloud が Docker の構成をカスタマイズした後、Docker サービスが再起動されません。その結果として、Docker はデフォルトの 172.17.0.1/16 をブリッジ IP アドレス サブネットとして選択します。この IP アドレス範囲内にすでに実行中のワークロードがある場合、IP アドレスの競合が発生する可能性があります。

回避策:

この問題を回避するには、docker サービスを再起動する必要があります。

sudo systemctl restart docker

Docker が正しいブリッジ IP アドレスを選択していることを確認します。

ip a | grep docker0

注: VM を再作成すると、この解決策は無効になります。VM が再作成されるたびに、この回避策を再適用する必要があります。

標準 CNI で複数のネットワーク インターフェースが機能しない

標準の CNI バイナリ bridge, ipvlan, vlan, macvlan, dhcp, tuning, host-local, ptp, portmap は、影響を受けるバージョンの OS イメージに含まれていません。これらの CNI バイナリは Dataplane v2 では使用されませんが、複数のネットワーク インターフェース機能で追加のネットワーク インターフェースに使用されます。

これらの CNI プラグインを使用すると、複数のネットワーク インターフェースは機能しません。

回避策:

この機能を使用している場合は、修正が適用されたバージョンにアップグレードしてください。

Netapp Trident の依存関係が vSphere CSI ドライバと干渉する

クラスタノードに multipathd をインストールすると、vSphere CSI ドライバの動作が妨げられ、ユーザー ワークロードを起動できなくなります。

回避策:

• multipathd を無効にします。

管理クラスタの Webhook によって更新がブロックされることがある

検証がスキップされて管理クラスタに必要な構成が空になっているときに、これらの構成を追加すると、管理クラスタの Webhook によって更新がブロックされることがあります。たとえば、既存の管理クラスタで gkeConnect フィールドが設定されていない場合、gkectl update admin コマンドで追加すると、次のエラー メッセージが表示されることがあります。

admission webhook "vonpremadmincluster.onprem.cluster.gke.io" denied the request: connect: Required value: GKE connect is required for user clusters

failed to apply OnPremAdminCluster 'kube-system/gke-admin-btncc': Internal error occurred: failed calling webhook "monpremadmincluster.onprem.cluster.gke.io": failed to call webhook: Post "https://onprem-admin-cluster-controller.kube-system.svc:443/mutate-onprem-cluster-gke-io-v1alpha1-onpremadmincluster?timeout=10s": dial tcp 10.96.55.208:443: connect: connection refused

回避策:

• 1.15 管理クラスタの場合は、--disable-admin-cluster-webhook フラグを指定して gkectl update admin コマンドを実行します。次のような例になります。

          gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig ADMIN_CLUSTER_KUBECONFIG --disable-admin-cluster-webhook
          

• 1.16 管理クラスタの場合は、--force フラグを指定して gkectl update admin コマンドを実行します。次のような例になります。

          gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig ADMIN_CLUSTER_KUBECONFIG --force
          

manualLB 仕様が空の場合、controlPlaneNodePort フィールドのデフォルトが 30968 になる

手動ロードバランサを使用する場合（loadBalancer.kind が "ManualLB" に設定されている場合）は、バージョン 1.16 以降の高可用性（HA）管理クラスタの構成ファイルで loadBalancer.manualLB セクションを構成する必要はありません。ただし、このセクションが空の場合、Google Distributed Cloud は manualLB.controlPlaneNodePort を含むすべての NodePort にデフォルト値を割り当てます。これにより、クラスタの作成が失敗し、次のエラー メッセージが表示されます。

- Validation Category: Manual LB
  - [FAILURE] NodePort configuration: manualLB.controlPlaneNodePort must
   not be set when using HA admin cluster, got: 30968

回避策:

HA 管理クラスタの管理クラスタ構成で、manualLB.controlPlaneNodePort: 0 を指定します。

loadBalancer:
  ...
  kind: ManualLB
  manualLB:
    controlPlaneNodePort: 0
  ...

Ubuntu OS イメージに nfs-common がありません

Ubuntu OS イメージに nfs-common がないため、NetApp などの NFS 依存ドライバを使用している環境で問題が発生する可能性があります。

Warning FailedMount 63s (x8 over 2m28s) kubelet MountVolume.SetUp failed for volume "pvc-xxx-yyy-zzz" : rpc error: code = Internal desc = error mounting NFS volume 10.0.0.2:/trident_pvc_xxx-yyy-zzz on mountpoint /var/lib/kubelet/pods/aaa-bbb-ccc/volumes/kubernetes.io~csi/pvc-xxx-yyy-zzz/mount: exit status 32".
      

回避策:

ノードが Canonical からパッケージをダウンロードできることを確認します。

次に、以下の DaemonSet をクラスタに適用して、nfs-common をインストールします。

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: install-nfs-common
  labels:
    name: install-nfs-common
  namespace: kube-system
spec:
  selector:
    matchLabels:
      name: install-nfs-common
  minReadySeconds: 0
  updateStrategy:
    type: RollingUpdate
    rollingUpdate:
      maxUnavailable: 100%
  template:
    metadata:
      labels:
        name: install-nfs-common
    spec:
      hostPID: true
      hostIPC: true
      hostNetwork: true
      initContainers:
      - name: install-nfs-common
        image: ubuntu
        imagePullPolicy: IfNotPresent
        securityContext:
          privileged: true
        command:
        - chroot
        - /host
        - bash
        - -c
        args:
        - |
          apt install -y nfs-common
        volumeMounts:
        - name: host
          mountPath: /host
      containers:
      - name: pause
        image: gcr.io/gke-on-prem-release/pause-amd64:3.1-gke.5
        imagePullPolicy: IfNotPresent
      volumes:
      - name: host
        hostPath:
          path: /
      

管理クラスタの構成テンプレートにストレージ ポリシー フィールドがありません

管理クラスタの SPBM は 1.28.0 以降のバージョンでサポートされています。しかし、構成ファイルのテンプレートに vCenter.storagePolicyName フィールドがありません。

回避策:

管理クラスタのストレージ ポリシーを構成する場合は、管理クラスタの構成ファイルに vCenter.storagePolicyName フィールドを追加します。手順をご確認ください。

Kubernetes Metadata API が VPC-SC に対応していない

最近追加された API kubernetesmetadata.googleapis.com は VPC-SC に対応していません。そのため、メタデータ収集エージェントは VPC-SC の下にあるこの API に到達できなくなります。その後、指標のメタデータ ラベルが失われます。

回避策:

次のコマンドを実行して、kube-system Namespace の CR stackdriver で、featureGates.disableExperimentalMetadataAgent フィールドを true に設定します。

`kubectl -n kube-system patch stackdriver stackdriver -p '{"spec":{"featureGates":{"disableExperimentalMetadataAgent":true}}}'`

次のコマンドを実行します。

`kubectl -n kube-system patch deployment stackdriver-operator -p '{"spec":{"template":{"spec":{"containers":[{"name":"stackdriver-operator","env":[{"name":"ENABLE_LEGACY_METADATA_AGENT","value":"true"}]}]}}}}'`

管理クラスタとコントロール プレーン V2 が有効になっているユーザー クラスタが、異なる vSphere 認証情報を使用すると、clusterapi-controller がクラッシュすることがある

管理クラスタと Controlplane V2 が有効になっているユーザー クラスタが異なる vSphere 認証情報を使用していると（たとえば、管理クラスタの vSphere 認証情報の更新後）、再起動後に clusterapi-controller が vCenter に接続できないことがあります。管理クラスタの kube-system 名前空間で実行されている clusterapi-controller のログを確認します。

kubectl logs -f -l component=clusterapi-controllers -c vsphere-controller-manager \
    -n kube-system --kubeconfig KUBECONFIG

E1214 00:02:54.095668       1 machine_controller.go:165] Error checking existence of machine instance for machine object gke-admin-node-77f48c4f7f-s8wj2: Failed to check if machine gke-admin-node-77f48c4f7f-s8wj2 exists: failed to find datacenter "VSPHERE_DATACENTER": datacenter 'VSPHERE_DATACENTER' not found

回避策:

vSphere 認証情報を更新して、管理クラスタと Controlplane V2 が有効になっているすべてのユーザー クラスタで同じ vSphere 認証情報が使用されるようにします。

Prometheus Alert Manager で etcd の失敗した GRPC リクエスト数が多い

Prometheus が次のようなアラートを報告することがあります。

Alert Name: cluster:gke-admin-test1: Etcd cluster kube-system/kube-etcd: 100% of requests for Watch failed on etcd instance etcd-test-xx-n001.

次の手順で、このアラートが無視できる誤検出かどうか確認します。

1. 元の grpc_server_handled_total 指標と、アラート メッセージで指定された grpc_method と比較します。この例では、grpc_code ラベルで Watch を確認します。
   
   この指標は、次の MQL クエリで Cloud Monitoring を使用して確認できます。

   fetch
       k8s_container | metric 'kubernetes.io/anthos/grpc_server_handled_total' | align rate(1m) | every 1m

2. コードが次のいずれかでない場合、OK 以外のすべてのコードのアラートは無視しても問題ありません。

   Unknown|FailedPrecondition|ResourceExhausted|Internal|Unavailable|DataLoss|DeadlineExceeded

回避策:

こうした誤検出のアラートを無視するように Prometheus を構成するには、次のオプションを確認します。

1. Alert Manager の UI でアラートをミュートします。
2. アラートのミュートが選択できない場合は、次の手順で誤検出を抑制します。
   1. 変更が永続的に保持されるように、モニタリング オペレーターを 0 個のレプリカにスケールダウンします。
   2. 次の例に示すように、prometheus-config configmap を変更して、etcdHighNumberOfFailedGRPCRequests アラート構成に grpc_method!="Watch" を追加します。
      • 元:

        rate(grpc_server_handled_total{cluster="CLUSTER_NAME",grpc_code!="OK",job=~".*etcd.*"}[5m])

      • 変更後:

        rate(grpc_server_handled_total{cluster="CLUSTER_NAME",grpc_code=~"Unknown|FailedPrecondition|ResourceExhausted|Internal|Unavailable|DataLoss|DeadlineExceeded",grpc_method!="Watch",job=~".*etcd.*"}[5m])

        次の CLUSTER_NAME はクラスタの名前で置き換えます。
   3. Prometheus と Alertmanager Statefulset を再起動して、新しい構成を取得します。
3. コードが問題のあるケースのいずれかに該当する場合は、etcd ログと kube-apiserver ログを確認して、さらにデバッグします。

下り（外向き）NAT の長時間接続が切断される

トラフィックがない場合、接続が確立されてから 5～10 分後に、下り（外向き）NAT 接続が切断されることがあります。

conntrack は、インバウンド方向（クラスタへの外部接続）でのみ問題になります。この問題は、接続がしばらく情報を送信していないときに宛先側で何かを送信すると発生します。下り（外向き）NAT の Pod が常にメッセージングをインスタンス化する場合、この問題は発生しません。

この問題は、デーモンが未使用と判断した conntrack エントリが anetd ガベージ コレクションによって誤って削除されるために発生します。この動作を修正するため、最近 anetd にアップストリームの修正が統合されました。

回避策:

簡単な回避策はありません。バージョン 1.16 では、この動作による問題は確認されていません。この問題が原因で長時間接続が切断された場合は、下り（外向き）IP アドレスと同じノードでワークロードを使用するか、常に TCP 接続でメッセージを送信します。

証明書に署名するときに、CSR 署名者が spec.expirationSeconds を無視する

expirationSeconds を設定して CertificateSigningRequest（CSR）を作成すると、expirationSeconds は無視されます。

回避策:

この問題の影響を受ける場合は、ユーザー クラスタ構成ファイルに disableNodeIDVerificationCSRSigning: true を追加してユーザー クラスタを更新し、gkectl update cluster コマンドを実行して、この構成でクラスタを更新します。

disable_bundled_ingress のユーザー クラスタのロードバランサの検証が失敗する

既存のクラスタで、バンドルされた Ingress を無効にしようとすると、次の例のようなエラーで gkectl update cluster コマンドが失敗します。

[FAILURE] Config: ingress IP is required in user cluster spec

このエラーは、gkectl がプリフライト チェック中にロードバランサの Ingress IP アドレスを確認するために発生します。バンドルされた Ingress を無効にする場合は、このチェックは必要ありませんが、disableBundledIngress が true に設定されていると、gkectl のプリフライト チェックが失敗します。

回避策:

次の例のように、クラスタを更新するときに --skip-validation-load-balancer パラメータを使用します。

gkectl update cluster \
  --kubeconfig ADMIN_CLUSTER_KUBECONFIG --config USER_CLUSTER_CONFIG  \
  --skip-validation-load-balancer

詳細については、既存のクラスタのバンドルされた Ingress を無効にする方法をご覧ください。

CA のローテーション後に管理クラスタの更新が失敗する

管理クラスタの認証局（CA）証明書をローテーションすると、それ以降の gkectl update admin コマンドの実行は失敗します。次のようなエラーが返されます。

failed to get last CARotationStage: configmaps "ca-rotation-stage" not found

回避策:

この問題の影響を受けている場合、gkectl update admin コマンドで --disable-update-from-checkpoint フラグを使用して、管理クラスタを更新できます。

gkectl update admin --config ADMIN_CONFIG_file \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
    --disable-update-from-checkpoint

--disable-update-from-checkpoint フラグを使用すると、update コマンドはクラスタの更新中にチェックポイント ファイルを信頼できる情報源として使用しません。チェックポイント ファイルは、今後の使用のために引き続き更新されます。

Pod の起動に失敗したため、CSI ワークロードのプリフライト チェックが失敗する

プリフライト チェック中に、CSI Workload 検証チェックによって Pod が default Namespace にインストールされます。CSI ワークロード Pod は、vSphere CSI ドライバがインストールされ、動的ボリューム プロビジョニングを実行できることを確認します。この Pod が起動しないと、CSI ワークロードの検証チェックが失敗します。

この Pod の起動の妨げとなる既知の問題がいくつかあります。

• Pod にリソース上限が指定されていない場合（Admission Webhook がインストールされている一部のクラスタの場合）、Pod は起動しません。
• default Namespace で自動 Istio サイドカー インジェクションが有効になっている状態で、Cloud Service Mesh がクラスタにインストールされている場合、CSI ワークロード Pod は起動しません。

CSI ワークロード Pod が起動しない場合は、プリフライト検証中に次のようなタイムアウト エラーが発生します。

- [FAILURE] CSI Workload: failure in CSIWorkload validation: failed to create writer Job to verify the write functionality using CSI: Job default/anthos-csi-workload-writer-<run-id> replicas are not in Succeeded phase: timed out waiting for the condition

Pod リソースセットの不足が失敗の原因かどうかを確認するには、次のコマンドを実行して anthos-csi-workload-writer-<run-id> ジョブのステータスを確認します。

kubectl describe job anthos-csi-workload-writer-<run-id>

CSI ワークロード Pod のリソース上限が正しく設定されていない場合、ジョブ ステータスの中に次のようなエラー メッセージが表示されます。

CPU and memory resource limits is invalid, as it are not defined for container: volume-tester

Istio サイドカー インジェクションが原因で CSI ワークロード Pod が起動しない場合は、default Namespace で Istio サイドカーの自動インジェクションを一時的に無効にできます。Namespace のラベルを確認し、次のコマンドを使用して istio.io/rev で始まるラベルを削除します。

kubectl label namespace default istio.io/rev-

Pod の構成が正しくない場合は、vSphere CSI ドライバを使用した動的ボリューム プロビジョニングが機能することを手動で確認します。

1. standard-rwo StorageClass を使用する PVC を作成します。
2. PVC を使用する Pod を作成します。
3. Pod がボリュームに対してデータの読み取り / 書き込みが可能であることを確認します。
4. 適切な動作を確認したら、Pod と PVC を削除します。

vSphere CSI ドライバを使用した動的ボリューム プロビジョニングが機能する場合は、--skip-validation-csi-workload フラグを指定して gkectl diagnose または gkectl upgrade を実行し、CSI ワークロードのチェックをスキップします。

管理クラスタのバージョンが 1.15 の場合、ユーザー クラスタの更新がタイムアウトする

ユーザー管理の管理ワークステーションにログオンすると、gkectl update cluster コマンドがタイムアウトしてユーザー クラスタの更新に失敗することがあります。これは、管理クラスタのバージョンが 1.15 で、gkectl update cluster を実行する前に gkectl update admin を実行した場合に発生します。この障害が発生した場合、クラスタを更新しようとすると、次のエラーが表示されます。

      Preflight check failed with failed to run server-side preflight checks: server-side preflight checks failed: timed out waiting for the condition
Preflight check failed with failed to run server-side preflight checks: server-side preflight checks failed: timed out waiting for the condition
      

1.15 管理クラスタの更新中に、プリフライト チェックをトリガーする validation-controller がクラスタから削除されます。その後、ユーザー クラスタを更新しようとすると、タイムアウトに達するまでプリフライト チェックがハングします。

回避策:

1. 次のコマンドを実行して validation-controller を再デプロイします。

         gkectl prepare --kubeconfig ADMIN_KUBECONFIG --bundle-path BUNDLE_PATH --upgrade-platform
         

2. 準備が完了したら、gkectl update cluster を再度実行してユーザー クラスタを更新します。

管理クラスタのバージョンが 1.15 の場合、ユーザー クラスタの作成がタイムアウトする

ユーザー管理の管理ワークステーションにログオンすると、gkectl create cluster コマンドがタイムアウトしてユーザー クラスタの作成に失敗することがあります。これは、管理クラスタのバージョンが 1.15 の場合に発生します。この障害が発生した場合、クラスタを作成しようとすると、次のエラーが表示されます。

      Preflight check failed with failed to run server-side preflight checks: server-side preflight checks failed: timed out waiting for the condition
Preflight check failed with failed to run server-side preflight checks: server-side preflight checks failed: timed out waiting for the condition
      

validation-controller は 1.16 で追加されたため、1.15 の管理クラスタを使用する場合、プリフライト チェックをトリガーする validation-controller が欠落しています。そのため、ユーザー クラスタを作成しようとすると、タイムアウトになるまでプリフライト チェックがハングします。

回避策:

1. 次のコマンドを実行して validation-controller をデプロイします。

         gkectl prepare --kubeconfig ADMIN_KUBECONFIG --bundle-path BUNDLE_PATH --upgrade-platform
         

2. 準備が完了したら、gkectl create cluster を再度実行してユーザー クラスタを作成します。

アドオン サービスのプロジェクトまたはロケーションが一致しない場合、管理クラスタの更新やアップグレードが失敗する

管理クラスタをバージョン 1.15.x から 1.16.x にアップグレードする場合、または、connect、stackdriver、cloudAuditLogging、または gkeOnPremAPI 構成を追加する場合に、管理クラスタを更新すると、管理クラスタの Webhook によってオペレーションが拒否される場合があります。次のいずれかのエラー メッセージが表示される場合があります。

• "projects for connect, stackdriver and cloudAuditLogging must be the same when specified during cluster creation."
• "locations for connect, gkeOnPremAPI, stackdriver and cloudAuditLogging must be in the same region when specified during cluster creation."
• "locations for stackdriver and cloudAuditLogging must be the same when specified during cluster creation."

管理クラスタの更新またはアップグレードでは、kind クラスタの管理クラスタを調整するために onprem-admin-cluster-controller が必要です。kind クラスタで管理クラスタの状態が復元されると、管理クラスタの Webhook は、OnPremAdminCluster オブジェクトが管理クラスタの作成用なのか、更新またはアップグレードのオペレーションを再開するためのものかを区別できません。一部の作成専用の検証は、更新とアップグレードで予期せずに呼び出されます。

回避策:

onprem.cluster.gke.io/skip-project-location-sameness-validation: true アノテーションを OnPremAdminCluster オブジェクトに追加します。

1. onpremadminclusters クラスタ リソースを編集します。

   kubectl edit onpremadminclusters ADMIN_CLUSTER_NAME -n kube-system –kubeconfig ADMIN_CLUSTER_KUBECONFIG

   次のように置き換えます。
   • ADMIN_CLUSTER_NAME: 管理クラスタの名前。
   • ADMIN_CLUSTER_KUBECONFIG: 管理クラスタの kubeconfig ファイルのパス
2. onprem.cluster.gke.io/skip-project-location-sameness-validation: true アノテーションを追加して、カスタム リソースを保存します。
3. 管理クラスタの種類に応じて、次のいずれかの操作を行います。
   • チェックポイント ファイルがある非 HA 管理クラスタの場合: update コマンドに disable-update-from-checkpoint パラメータを追加するか、upgrade コマンドに disable-upgrade-from-checkpooint パラメータを追加します。これらのパラメータは、次に update または upgrade コマンドを実行するときにのみ、必要になります。
     • gkectl update admin --config ADMIN_CONFIG_file --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
         --disable-update-from-checkpoint

     • gkectl upgrade admin --config ADMIN_CONFIG_file --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
         --disable-upgrade-from-checkpoint

   • HA 管理クラスタの場合、またはチェックポイント ファイルが無効になっている場合: 通常どおり管理クラスタを更新またはアップグレードします。update コマンドまたは upgrade コマンドに追加のパラメータは必要ありません。

ユーザー管理の管理ワークステーションを使用している場合、ユーザー クラスタの削除に失敗する

ユーザー管理の管理ワークステーションにログオンすると、gkectl delete cluster コマンドがタイムアウトしてユーザー クラスタの削除に失敗することがあります。これは、ユーザー管理のワークステーションで gkectl を使用して、ユーザー クラスタの作成、更新、アップグレードを実行した場合に発生します。この障害が発生した場合、クラスタを削除しようとすると、次のエラーが表示されます。

      failed to wait for user cluster management namespace "USER_CLUSTER_NAME-gke-onprem-mgmt"
      to be deleted: timed out waiting for the condition
      

削除時に、クラスタはすべてのオブジェクトを削除します。Validation オブジェクト（作成、更新、アップグレード中に作成されたもの）の削除は、削除の段階で停止します。これは、ファイナライザがオブジェクトの削除をブロックし、クラスタの削除が失敗するためです。

回避策:

1. すべての Validation オブジェクトの名前を取得します。

            kubectl  --kubeconfig ADMIN_KUBECONFIG get validations \
              -n USER_CLUSTER_NAME-gke-onprem-mgmt
           

2. Validation オブジェクトごとに次のコマンドを実行して、Validation オブジェクトからファイナライザを削除します。

         kubectl --kubeconfig ADMIN_KUBECONFIG patch validation/VALIDATION_OBJECT_NAME \
           -n USER_CLUSTER_NAME-gke-onprem-mgmt -p '{"metadata":{"finalizers":[]}}' --type=merge
         

   すべての Validation オブジェクトからファイナライザを削除すると、オブジェクトが削除され、ユーザー クラスタの削除オペレーションが自動的に完了します。ユーザー側で対応は必要ありません。

外部サーバーの下り（外向き）NAT ゲートウェイ トラフィックが失敗する

送信元 Pod と下り（外向き）NAT ゲートウェイ Pod がそれぞれ異なるワーカーノードにある場合、送信元 Pod からのトラフィックは外部サービスに到達できません。Pod が同じホストにある場合、外部サービスまたはアプリケーションへの接続は成功します。

この問題は、トンネル集約が有効になっているときに vSphere が VXLAN パケットを破棄することで発生します。NSX と VMware には、既知の VXLAN ポート（4789）で集約されたトラフィックのみを送信するという既知の問題があります。

回避策:

Cilium が使用する VXLAN ポートを 4789 に変更します。

1. cilium-config ConfigMap を編集します。

   kubectl edit cm -n kube-system cilium-config --kubeconfig USER_CLUSTER_KUBECONFIG

2. cilium-config ConfigMap に次のように追加します。

   tunnel-port: 4789

3. anetd DaemonSet を再起動します。

   kubectl rollout restart ds anetd -n kube-system --kubeconfig USER_CLUSTER_KUBECONFIG

この回避策は、クラスタがアップグレードされるたびに元に戻ります。アップグレード後に再構成する必要があります。完全に修正するには、VMware 側で vSphere の問題を解決する必要があります。

常時オンのシークレット暗号化が有効になっている管理クラスタのアップグレードが失敗する

コントローラで生成された暗号鍵と、管理マスター データ ディスク上で保持されている鍵の不一致が原因で、常時有効なシークレット暗号化が有効になっている管理クラスタを 1.14.x から 1.15.x にアップグレードできません。gkectl upgrade admin の出力には、次のエラー メッセージが含まれます。

      E0926 14:42:21.796444   40110 console.go:93] Exit with error:
      E0926 14:42:21.796491   40110 console.go:93] Failed to upgrade the admin cluster: failed to create admin cluster: failed to wait for OnPremAdminCluster "admin-cluster-name" to become ready: failed to wait for OnPremAdminCluster "admin-cluster-name" to be ready: error: timed out waiting for the condition, message: failed to wait for OnPremAdminCluster "admin-cluster-name" to stay in ready status for duration "2m0s": OnPremAdminCluster "non-prod-admin" is not ready: ready condition is not true: CreateOrUpdateControlPlane: Creating or updating credentials for cluster control plane
      

kubectl get secrets -A --kubeconfig KUBECONFIG` を実行すると、次のエラーで失敗します。

      Internal error occurred: unable to transform key "/registry/secrets/anthos-identity-service/ais-secret": rpc error: code = Internal desc = failed to decrypt: unknown jwk
      

回避策

管理クラスタのバックアップがある場合は、次の手順でアップグレード エラーを回避してください。

1. 管理クラスタの構成ファイルで secretsEncryption を無効にし、次のコマンドを使用してクラスタを更新します。

   gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig KUBECONFIG

2. 新しい管理マスター VM が作成されたら、管理マスター VM に SSH で接続し、データディスク上の新しい鍵をバックアップの古い鍵に置き換えます。鍵は管理マスターの /opt/data/gke-k8s-kms-plugin/generatedkeys にあります。
3. /etc/kubernetes/manifests の kms-plugin.yaml 静的 Pod マニフェストを更新して、元の暗号鍵の kid フィールドと一致するように --kek-id を更新します。
4. /etc/kubernetes/manifests/kms-plugin.yaml を別のディレクトリに移動して kms-plugin 静的 Pod を再起動してから、それを元に戻します。
5. gkectl upgrade admin を再度実行して、管理のアップグレードを再開します。

アップグレードの失敗を防ぐ

まだアップグレードしていない場合は、1.15.0～1.15.4 にアップグレードしないことをおすすめします。影響を受けるバージョンにアップグレードする必要がある場合は、管理クラスタをアップグレードする前に、次の操作を行います。

1. 管理クラスタをバックアップします。
2. 管理クラスタの構成ファイルで secretsEncryption を無効にし、次のコマンドを使用してクラスタを更新します。

   gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig KUBECONFIG

3. 管理クラスタをアップグレードします。
4. 常時有効なシークレット暗号化を有効にします。

変更ブロックのトラッキング（CBT）の使用時のディスクエラーとアタッチの失敗

Google Distributed Cloud は、ディスクの変更ブロック トラッキング（CBT）をサポートしていません。一部のバックアップ ソフトウェアは、CBT 機能を使用してディスクの状態を追跡し、バックアップを行います。このため、Google Distributed Cloud を実行する VM にディスクを接続できません。詳細については、VMware Knowledge Base の記事をご覧ください。

回避策:

サードパーティのバックアップ ソフトウェアを使用すると、ディスクで CBT が有効になる可能性があるため、Google Distributed Cloud VM をバックアップしないでください。これらの VM をバックアップする必要はありません。

この変更は、更新またはアップグレードを行うと破棄されるため、ノードで CBT を有効にしないでください。

CBT が有効になっているディスクがすでにある場合は、VMware Knowledge Base の記事の解決策の手順に沿って、ファースト クラスのディスクで CBT を無効にします。

複数のホストから共有ファイルに並列追加が行われると NFSv3 上のデータが破損する

Nutanix ストレージ アレイを使用して NFSv3 共有をホストに提供すると、データが破損したり、Pod が正常に動作しなくなることがあります。この問題は、特定のバージョンの VMware と Nutanix のバージョン間で確認されている互換性の問題が原因で発生します。詳細については、関連する VMware KB の記事をご覧ください。

回避策:

VMware の KB 記事は最新でないため、現在実施できる解決策はありません。この問題を解決するには、ホスト上の ESXi を最新バージョンに更新し、ストレージ アレイ上の Nutanix を最新バージョンに更新します。

kubelet と Kubernetes コントロール プレーン間のバージョンの不一致

一部の Google Distributed Cloud リリースでは、ノードで実行される kubelet と Kubernetes コントロール プレーンのバージョンが一致していない場合があります。OS イメージにプリロードされた kubelet バイナリが異なるバージョンを使用しているため、不一致があります。

次の表に、確認されているバージョンの不一致を示します。

回避策:

必要な対応はありません。この不整合は Kubernetes パッチ バージョン間のみであり、このバージョン スキューによる問題はありません。

1 より大きいバージョンの CA を使用した管理クラスタのアップグレードまたは更新が失敗する

管理クラスタの認証局（CA）のバージョンが 1 より大きい場合、Webhook の CA バージョンの検証により、更新またはアップグレードが失敗します。gkectl upgrade / update の出力には、次のエラー メッセージが含まれます。

    CAVersion must start from 1
    

回避策:

• 管理クラスタの auto-resize-controller Deployment をスケールダウンして、ノードの自動サイズ変更を無効にします。1.15 で管理クラスタのカスタム リソースに導入された新しいフィールドにより、auto-resize-controller で nil ポインタエラーが発生する可能性があるため、このような操作が必要になります。

   kubectl scale deployment auto-resize-controller -n kube-system --replicas=0 --kubeconfig KUBECONFIG
        

• --disable-admin-cluster-webhook フラグを指定して gkectl コマンドを実行します。例:

          gkectl upgrade admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig KUBECONFIG --disable-admin-cluster-webhook
          

非 HA コントロール プレーン V2 クラスタの削除がタイムアウトまで停止する

非 HA Controlplane V2 クラスタが削除されると、タイムアウトするまで、ノードの削除で処理が停止します。

回避策:

クラスタに重要なデータを含む StatefulSet が含まれている場合は、Cloud カスタマーケアにお問い合わせください。

それ以外の場合は、次の操作を行います。

• vSphere からすべてのクラスタ VM を削除します。vSphere UI で VM を削除するか、次のコマンドを実行します。

        govc vm.destroy

• クラスタをもう一度強制的に削除します。

       gkectl delete cluster --cluster USER_CLUSTER_NAME --kubeconfig ADMIN_KUBECONFIG --force
       

バージョン 1.15 以降にアップグレードすると、in-tree PVC / PV に対して一定の CNS attachvolume タスクが毎分表示される

クラスタに in-tree vSphere 永続ボリューム（たとえば、standard StorageClass で作成された PVC）が含まれていると、vCenter から 1 分ごとに com.vmware.cns.tasks.attachvolume タスクがトリガーされます。

回避策:

vSphere CSI 機能の configMap を編集し、list-volumes を false に設定します。

     kubectl edit configmap internal-feature-states.csi.vsphere.vmware.com -n kube-system --kubeconfig KUBECONFIG
     

vSphere CSI コントローラ Pod を再起動します。

     kubectl rollout restart deployment vsphere-csi-controller -n kube-system --kubeconfig KUBECONFIG
    

PVC に関する誤った警告

クラスタに intree vSphere 永続ボリュームが含まれている場合、gkectl diagnose および gkectl upgrade コマンドを実行すると、クラスタのストレージ設定を検証するときに、永続ボリューム要求（PVC）に対して誤った警告が表示されることがあります。次のような警告メッセージが表示されます。

    CSIPrerequisites pvc/pvc-name: PersistentVolumeClaim pvc-name bounds to an in-tree vSphere volume created before CSI migration enabled, but it doesn't have the annotation pv.kubernetes.io/migrated-to set to csi.vsphere.vmware.com after CSI migration is enabled
    

回避策:

次のコマンドを実行して、先ほどの警告が表示された PVC のアノテーションを確認します。

    kubectl get pvc PVC_NAME -n PVC_NAMESPACE -oyaml --kubeconfig KUBECONFIG
    

出力の annotations フィールドに次の内容が含まれている場合、警告は無視して構いません。

      pv.kubernetes.io/bind-completed: "yes"
      pv.kubernetes.io/bound-by-controller: "yes"
      volume.beta.kubernetes.io/storage-provisioner: csi.vsphere.vmware.com
    

複数のキーが期限切れになった場合、サービス アカウント キーのローテーションが失敗する

クラスタで非公開レジストリが使用されておらず、コンポーネント アクセス サービス アカウント キーと Logging-monitoring（または Connect-register）サービス アカウント キーが期限切れになると、サービス アカウント キーのローテーション時に、gkectl update credentials が次のようなエラーで失敗します。

Error: reconciliation failed: failed to update platform: ...

回避策:

まず、コンポーネント アクセス サービス アカウント キーをローテーションします。同じエラー メッセージが表示されますが、コンポーネント アクセス サービス アカウント キーのローテーション後に他のキーをローテーションできるはずです。

それでも更新が成功しない場合は、Cloud カスタマーケアにお問い合わせください。

ユーザー クラスタ コントローラが 1.16 にアップグレードされると、1.15 ユーザー マスター マシンで予期しない再作成が発生する

ユーザー クラスタのアップグレードで、ユーザー クラスタ コントローラが 1.16 にアップグレードされた後に、同じ管理クラスタで管理されている 1.15 のユーザー クラスタが存在すると、そのユーザー マスター マシンが予期せずに再作成される可能性があります。

1.16 ユーザー クラスタ コントローラにバグがあり、1.15 ユーザー マスター マシンの再作成をトリガーできます。

回避策は、この問題が発生した状況によって異なります。

Google Cloud コンソールを使用してユーザー クラスタをアップグレードする場合の回避策:

オプション 1: 修正適用済みのバージョン 1.16.6 以降の GKE on VMware を使用します。

オプション 2: 次の操作を行います。

1. 次のコマンドを実行して、再実行のアノテーションを手動で追加します。

   kubectl edit onpremuserclusters USER_CLUSTER_NAME -n USER_CLUSTER_NAME-gke-onprem-mgmt --kubeconfig ADMIN_KUBECONFIG

   再実行のアノテーションは次のとおりです。

   onprem.cluster.gke.io/server-side-preflight-rerun: true

2. OnPremUserCluster の status フィールドで、アップグレードの進行状況をモニタリングします。

独自の管理ワークステーションを使用してユーザー クラスタをアップグレードする場合の回避策:

オプション 1: 修正適用済みのバージョン 1.16.6 以降の GKE on VMware を使用します。

オプション 2: 次の操作を行います。

1. 次の内容のビルド情報ファイル /etc/cloud/build.info を追加します。これにより、プリフライト チェックがサーバーではなく、管理ワークステーションのローカルで実行されるようになります。

   gke_on_prem_version: GKE_ON_PREM_VERSION

   例:

   gke_on_prem_version: 1.16.0-gke.669

2. アップグレード コマンドを再実行します。
3. アップグレードが完了したら、build.info ファイルを削除します。

ホスト名が IP ブロック ファイルにないとき、プリフライト チェックが失敗する

クラスタの作成時に、IP ブロック ファイルのすべての IP アドレスにホスト名を指定しないと、プリフライト チェックが失敗し、次のエラー メッセージが表示されます。

multiple VMs found by DNS name  in xxx datacenter. Anthos Onprem doesn't support duplicate hostname in the same vCenter and you may want to rename/delete the existing VM.`
    

プリフライト チェックのバグにより、空のホスト名が重複とみなされます。

回避策:

オプション 1: 修正適用済みのバージョンを使用します。

オプション 2: --skip-validation-net-config フラグを追加して、このプリフライト チェックをバイパスします。

オプション 3: IP ブロック ファイル内の IP アドレスごとに一意のホスト名を指定します。

非 HA 管理クラスタとコントロール プレーン v1 のユーザー クラスタを使用している場合、管理クラスタをアップグレードまたは更新するときにボリューム マウントが失敗する

非 HA 管理クラスタとコントロール プレーン v1 ユーザー クラスタの場合、管理クラスタをアップグレードまたは更新すると、ユーザー クラスタ マスター マシンの再起動と同時に管理クラスタ マスター マシンの再作成が行われることがあります。これにより、競合状態が発生する可能性があります。この状況が発生すると、ユーザー クラスタ コントロール プレーン Pod が管理クラスタ コントロール プレーンと通信できなくなり、ユーザー クラスタ コントロール プレーンの kube-etcd と kube-apiserver でボリューム接続の問題が発生します。

この問題を確認するには、影響を受けた Pod に対して次のコマンドを実行します。

kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG --namespace USER_CLUSTER_NAME describe pod IMPACTED_POD_NAME

Events:
  Type     Reason       Age                  From               Message
  ----     ------       ----                 ----               -------
  Warning  FailedMount  101s                 kubelet            Unable to attach or mount volumes: unmounted volumes=[kube-audit], unattached volumes=[], failed to process volumes=[]: timed out waiting for the condition
  Warning  FailedMount  86s (x2 over 3m28s)  kubelet            MountVolume.SetUp failed for volume "pvc-77cd0635-57c2-4392-b191-463a45c503cb" : rpc error: code = FailedPrecondition desc = volume ID: "bd313c62-d29b-4ecd-aeda-216648b0f7dc" does not appear staged to "/var/lib/kubelet/plugins/kubernetes.io/csi/csi.vsphere.vmware.com/92435c96eca83817e70ceb8ab994707257059734826fedf0c0228db6a1929024/globalmount"

回避策:

1. ユーザー コントロール プレーン ノードに SSH で接続します。これはコントロール プレーン v1 ユーザー クラスタであるため、ユーザー コントロール プレーン ノードは管理クラスタにあります。
2. 次のコマンドを使用して kubelet を再起動します。

       sudo systemctl restart kubelet
       

   再起動後、kubelet はステージ グローバル マウントを適切に再構築できます。

コントロール プレーン ノードの作成に失敗する

管理クラスタのアップグレードまたは更新中に競合状態が発生し、vSphere クラウド コントローラ マネージャーが新しいコントロール プレーン ノードを予期せず削除する場合があります。これにより、ノードの作成を待機するために clusterapi-controller が停止し、最終的にアップグレードや更新がタイムアウトします。この場合、gkectl のアップグレード / 更新コマンドの出力は次のようになります。

    controlplane 'default/gke-admin-hfzdg' is not ready: condition "Ready": condition is not ready with reason "MachineInitializing", message "Wait for the control plane machine "gke-admin-hfzdg-6598459f9zb647c8-0\" to be rebooted"...
    

この問題を特定するには、次のコマンドを実行して、管理クラスタで vSphere クラウド コントローラ マネージャーにログインします。

    kubectl get pods --kubeconfig ADMIN_KUBECONFIG -n kube-system | grep vsphere-cloud-controller-manager
    kubectl logs -f vsphere-cloud-controller-manager-POD_NAME_SUFFIX --kubeconfig ADMIN_KUBECONFIG -n kube-system
    

このコマンドから次のようなエラー メッセージが返されます。

    node name: 81ff17e25ec6-qual-335-1500f723 has a different uuid. Skip deleting this node from cache.
    

回避策:

1. 障害が発生したマシンを再起動して、削除されたノード オブジェクトを再作成します。
2. 各コントロール プレーン ノードに SSH で接続し、vSphere クラウド コントローラ マネージャーの静的 Pod を再起動します。

         sudo crictl ps | grep vsphere-cloud-controller-manager | awk '{print $1}'
         sudo crictl stop PREVIOUS_COMMAND_OUTPUT
         

3. アップグレード / 更新コマンドを再実行します。

同じデータセンター内でホスト名が重複していると、クラスタのアップグレードまたは作成に失敗する

同じデータセンター内でホスト名が重複していると、1.15 クラスタのアップグレードや、静的 IP を持つ 1.16 クラスタの作成が失敗します。このエラーは、vSphere クラウド コントローラ マネージャーがノード オブジェクトに外部 IP とプロバイダ ID を追加できないために発生します。これにより、クラスタのアップグレード / 作成がタイムアウトします。

問題を特定するには、クラスタの vSphere クラウド コントローラ マネージャーの Pod ログを取得します。使用するコマンドは、クラスタタイプによって異なります。

• 管理クラスタ:

        kubectl get pods --kubeconfig ADMIN_KUBECONFIG -n kube-system | grep vsphere-cloud-controller-manager
        kubectl logs -f vsphere-cloud-controller-manager-POD_NAME_SUFFIX --kubeconfig ADMIN_KUBECONFIG -n kube-system
        

• enableControlplaneV2 false を使用するユーザー クラスタ:

        kubectl get pods --kubeconfig ADMIN_KUBECONFIG -n USER_CLUSTER_NAME | grep vsphere-cloud-controller-manager
        kubectl logs -f vsphere-cloud-controller-manager-POD_NAME_SUFFIX --kubeconfig ADMIN_KUBECONFIG -n USER_CLUSTER_NAME
        

• enableControlplaneV2 true を使用するユーザー クラスタ:

        kubectl get pods --kubeconfig USER_KUBECONFIG -n kube-system | grep vsphere-cloud-controller-manager
        kubectl logs -f vsphere-cloud-controller-manager-POD_NAME_SUFFIX --kubeconfig USER_KUBECONFIG -n kube-system
        

次のようなエラー メッセージが表示されます。

    I1003 17:17:46.769676       1 search.go:152] Finding node admin-vm-2 in vc=vcsa-53598.e5c235a1.asia-northeast1.gve.goog and datacenter=Datacenter
    E1003 17:17:46.771717       1 datacenter.go:111] Multiple vms found VM by DNS Name. DNS Name: admin-vm-2
    

データセンター内でホスト名が重複しているかどうかを確認します。

          export GOVC_DATACENTER=GOVC_DATACENTER
          export GOVC_URL=GOVC_URL
          export GOVC_USERNAME=GOVC_USERNAME
          export GOVC_PASSWORD=GOVC_PASSWORD
          export GOVC_INSECURE=true
          govc find . -type m -guest.hostName HOSTNAME
          

          export GOVC_DATACENTER=mtv-lifecycle-vc01
          export GOVC_URL=https://mtv-lifecycle-vc01.anthos/sdk
          export GOVC_USERNAME=xxx
          export GOVC_PASSWORD=yyy
          export GOVC_INSECURE=true
          govc find . -type m -guest.hostName f8c3cd333432-lifecycle-337-xxxxxxxz
          ./vm/gke-admin-node-6b7788cd76-wkt8g
          ./vm/gke-admin-node-6b7788cd76-99sg2
          ./vm/gke-admin-master-5m2jb
          

失敗したオペレーションによって回避策が異なります。

アップグレード時の回避策:

クラスタタイプに応じて回避策を行います。

• ユーザー クラスタ:
  1. user-ip-block.yaml で、影響を受けるマシンのホスト名を一意の名前に変更し、強制更新をトリガーします。
     

               gkectl update cluster --kubeconfig ADMIN_KUBECONFIG --config NEW_USER_CLUSTER_CONFIG --force
               

  2. gkectl upgrade cluster を再実行します。
• 管理クラスタ:
  1. admin-ip-block.yaml で、影響を受けるマシンのホスト名を一意の名前に変更し、強制更新をトリガーします。
     

               gkectl update admin --kubeconfig ADMIN_KUBECONFIG --config NEW_ADMIN_CLUSTER_CONFIG --force --skip-cluster-ready-check
               

  2. 非 HA 管理クラスタであり、管理マスター VM が重複するホスト名を使用していることが判明した場合は、次の操作も必要になります。
     管理マスターマシン名を取得する

               kubectl get machine --kubeconfig ADMIN_KUBECONFIG -owide -A
               

     管理マスター マシン オブジェクトを更新する
     注: NEW_ADMIN_MASTER_HOSTNAME は、手順 1 で admin-ip-block.yaml で設定したものと同じにする必要があります。
     

               kubectl patch machine ADMIN_MASTER_MACHINE_NAME --kubeconfig ADMIN_KUBECONFIG --type='json' -p '[{"op": "replace", "path": "/spec/providerSpec/value/networkSpec/address/hostname", "value":"NEW_ADMIN_MASTER_HOSTNAME"}]'
               

     管理マスター マシン オブジェクトで、ホスト名が更新されていることを確認します。
     

               kubectl get machine ADMIN_MASTER_MACHINE_NAME --kubeconfig ADMIN_KUBECONFIG -oyaml
               kubectl get machine ADMIN_MASTER_MACHINE_NAME --kubeconfig ADMIN_KUBECONFIG -o jsonpath='{.spec.providerSpec.value.networkSpec.address.hostname}'
               

  3. チェックポイントを無効にして管理クラスタのアップグレードを再実行します。
     

               gkectl upgrade admin --kubeconfig ADMIN_KUBECONFIG --config ADMIN_CLUSTER_CONFIG --disable-upgrade-from-checkpoint
               

インストールの回避策:

クラスタタイプに応じて回避策を行います。

• 管理クラスタ:
  1. 管理ノードマシンを削除します。
  2. データディスクを削除します。
  3. 管理クラスタのチェックポイント ファイルを削除します。
  4. admin-ip-block.yaml で、影響を受けるマシンのホスト名を一意の名前に変更します。
  5. gkectl create admin を再実行します。
• ユーザー クラスタ:
  1. リソースをクリーンアップします。
  2. user-ip-block.yaml で、影響を受けるマシンのホスト名を一意の名前に変更します。
  3. gkectl create cluster を再実行します。

vSphere のユーザー名またはパスワードで $ と ` がサポートされない

vSphere のユーザー名またはパスワードに $ または ` が含まれていると、次の処理を行うことができません。

• Controlplane V2 が有効になっている 1.15 ユーザー クラスタを 1.16 にアップグレードする
• 1.15 高可用性（HA）管理クラスタを 1.16 にアップグレードする
• コントロール レーン V2 が有効な 1.16 ユーザー クラスタを作成する
• 1.16 HA 管理クラスタを作成する

修正が適用された 1.16.4 以降のバージョンの Google Distributed Cloud を使用するか、以下の回避策を実施してください。失敗したオペレーションによって回避策が異なります。

アップグレード時の回避策:

1. vCenter 側で vCenter のユーザー名またはパスワードを変更して、$ と ` を削除します。
2. 認証情報構成ファイルで vCenter のユーザー名またはパスワードを更新します。
3. クラスタの強制更新をトリガーします。
• ユーザー クラスタ:

          gkectl update cluster --kubeconfig ADMIN_KUBECONFIG --config USER_CLUSTER_CONFIG --force
          

• 管理クラスタ:

          gkectl update admin --kubeconfig ADMIN_KUBECONFIG --config ADMIN_CLUSTER_CONFIG --force --skip-cluster-ready-check
          

インストールの回避策:

1. vCenter 側で vCenter のユーザー名またはパスワードを変更して、$ と ` を削除します。
2. 認証情報構成ファイルで vCenter のユーザー名またはパスワードを更新します。
3. クラスタタイプに応じて回避策を行います。
• 管理クラスタ:
  1. 管理ノードマシンを削除します。
  2. データディスクを削除します。
  3. 管理クラスタのチェックポイント ファイルを削除します。
  4. gkectl create admin を再実行します。
• ユーザー クラスタ:
  1. リソースをクリーンアップします。
  2. gkectl create cluster を再実行します。

同じ名前でノードを再作成した後に PVC 作成に失敗する

ノードを削除してから同じノード名で再作成した後に、PersistentVolumeClaim（PVC）を作成すると、次のようなエラーで失敗することがあります。

    The object 'vim.VirtualMachine:vm-988369' has already been deleted or has not been completely created

vSphere CSI コントローラが、削除されたマシンをキャッシュから削除していないために、競合状態が発生しています。

回避策:

vSphere CSI コントローラ Pod を再起動します。

    kubectl rollout restart deployment vsphere-csi-controller -n kube-system --kubeconfig KUBECONFIG
    

gkectl repair admin-master で kubeconfig unmarshall エラーが返される

HA 管理クラスタで gkectl repair admin-master コマンドを実行すると、gkectl が次のエラー メッセージを返します。

  Exit with error: Failed to repair: failed to select the template: failed to get cluster name from kubeconfig, please contact Google support. failed to decode kubeconfig data: yaml: unmarshal errors:
    line 3: cannot unmarshal !!seq into map[string]*api.Cluster
    line 8: cannot unmarshal !!seq into map[string]*api.Context
  

回避策:

コマンドに --admin-master-vm-template= フラグを追加して、修復するマシンの VM テンプレートを指定します。

  gkectl repair admin-master --kubeconfig=ADMIN_CLUSTER_KUBECONFIG \
      --config ADMIN_CLUSTER_CONFIG_FILE \
      --admin-master-vm-template=/DATA_CENTER/vm/VM_TEMPLATE_NAME
  

マシンの VM テンプレートを確認するには:

1. vSphere クライアントの [Hosts and Clusters] ページに移動します。
2. [VM Templates] をクリックして、管理クラスタ名でフィルタします。

   管理クラスタの 3 つの VM テンプレートが表示されます。

3. 修復するマシンの名前と一致する VM テンプレート名をコピーして、そのテンプレート名を repair コマンドで使用します。

  gkectl repair admin-master \
      --config=/home/ubuntu/admin-cluster.yaml \
      --kubeconfig=/home/ubuntu/kubeconfig \
      --admin-master-vm-template=/atl-qual-vc07/vm/gke-admin-98g94-zx...7vx-0-tmpl

ディスク容量不足により Seesaw VM が破損する

クラスタのロードバランサ タイプとして Seesaw を使用しているときに、Seesaw VM が停止していたり、起動の失敗を繰り返すと、vSphere コンソールに次のエラー メッセージが表示されることがあります。

    GRUB_FORCE_PARTUUID set, initrdless boot failed. Attempting with initrd
    

このエラーは、Seesaw VM で実行されている fluent-bit が正しいログ ローテーションで構成されていないため、VM のディスク容量が不足していることを示します。

回避策:

du -sh -- /var/lib/docker/containers/* | sort -rh を使用して、ディスク容量の大部分を占有しているログファイルを探します。サイズが最も大きいログファイルをクリーンアップして、VM を再起動します。

注: VM が完全にアクセス不能な場合は、ディスクを作業中の VM（管理ワークステーションなど）にアタッチしてファイルを削除し、そのディスクを元の Seesaw VM に再度アタッチします。

この問題が再発しないようにするには、VM に接続して /etc/systemd/system/docker.fluent-bit.service ファイルを変更します。Docker コマンドに --log-opt max-size=10m --log-opt max-file=5 を追加して、systemctl restart docker.fluent-bit.service を実行します。

管理クラスタのアップグレードまたは更新後に、管理 SSH 公開鍵エラーが発生する

チェックポイントを有効にして非 HA 管理クラスタをアップグレード（gkectl upgrade admin）または更新（gkectl update admin）しようとすると、アップグレードや更新が失敗して、次のようなエラーが表示されることがあります。

Checking admin cluster certificates...FAILURE
    Reason: 20 admin cluster certificates error(s).
Unhealthy Resources:
    AdminMaster clusterCA bundle: failed to get clusterCA bundle on admin master, command [ssh -o IdentitiesOnly=yes -i admin-ssh-key -o StrictHostKeyChecking=no -o ConnectTimeout=30 ubuntu@AdminMasterIP -- sudo cat /etc/kubernetes/pki/ca-bundle.crt] failed with error: exit status 255, stderr: Authorized uses only. All activity may be monitored and reported.
    ubuntu@AdminMasterIP: Permission denied (publickey).

failed to ssh AdminMasterIP, failed with error: exit status 255, stderr: Authorized uses only. All activity may be monitored and reported.
    ubuntu@AdminMasterIP: Permission denied (publickey)

error dialing ubuntu@AdminMasterIP: failed to establish an authenticated SSH connection: ssh: handshake failed: ssh: unable to authenticate, attempted methods [none publickey]...

回避策:

修正が適用された Google Distributed Cloud のパッチ バージョンにアップグレードできない場合は、Google サポートにお問い合わせください。

GKE On-Prem API に登録された管理クラスタのアップグレードが失敗することがある

管理クラスタが GKE On-Prem API に登録されていると、フリート メンバーシップを更新できず、影響を受けるバージョンに管理クラスタをアップグレードできないことがあります。この状況でクラスタをアップグレードしようとすると、次のエラーが表示されます。

    failed to register cluster: failed to apply Hub Membership: Membership API request failed: rpc error: code = InvalidArgument desc = InvalidFieldError for field endpoint.on_prem_cluster.resource_link: field cannot be updated
    

管理クラスタが API に登録されるのは、クラスタを明示的に登録した場合だけはありません。GKE On-Prem API クライアントを使用してユーザー クラスタをアップグレードした場合にも登録されます。

回避策:

    gcloud alpha container vmware admin-clusters unenroll ADMIN_CLUSTER_NAME --project CLUSTER_PROJECT --location=CLUSTER_LOCATION --allow-missing
    

登録済みの管理クラスタのリソースリンク アノテーションが保持されない

管理クラスタが GKE On-Prem API に登録されると、そのリソース リンク アノテーションが OnPremAdminCluster カスタム リソースに適用されます。これは、間違ったアノテーション キーが使用されているため、クラスタ管理を更新すると破棄されます。これにより、管理クラスタが GKE On-Prem API に再度登録される可能性があります。

管理クラスタが API に登録されるのは、クラスタを明示的に登録した場合だけはありません。GKE On-Prem API クライアントを使用してユーザー クラスタをアップグレードした場合にも登録されます。

回避策:

    gcloud alpha container vmware admin-clusters unenroll ADMIN_CLUSTER_NAME --project CLUSTER_PROJECT --location=CLUSTER_LOCATION --allow-missing
    

CoreDNS orderPolicy が認識されない

OrderPolicy がパラメータとして認識されないため、使用されません。代わりに、Google Distributed Cloud は常に Random を使用します。

この問題は、CoreDNS テンプレートが更新されておらず、orderPolicy が無視されることが原因で発生します。

回避策:

CoreDNS テンプレートを更新して修正を適用します。この修正は、アップグレードするまで維持されます。

1. 既存のテンプレートを編集します。

   kubectl edit cm -n kube-system coredns-template

   ファイルの内容を次のコードで置き換えます。

   coredns-template: |-
     .:53 {
       errors
       health {
         lameduck 5s
       }
       ready
       kubernetes cluster.local in-addr.arpa ip6.arpa {
         pods insecure
         fallthrough in-addr.arpa ip6.arpa
       }
   {{- if .PrivateGoogleAccess }}
       import zones/private.Corefile
   {{- end }}
   {{- if .RestrictedGoogleAccess }}
       import zones/restricted.Corefile
   {{- end }}
       prometheus :9153
       forward . {{ .UpstreamNameservers }} {
         max_concurrent 1000
         {{- if ne .OrderPolicy "" }}
         policy {{ .OrderPolicy }}
         {{- end }}
       }
       cache 30
   {{- if .DefaultDomainQueryLogging }}
       log
   {{- end }}
       loop
       reload
       loadbalance
   }{{ range $i, $stubdomain := .StubDomains }}
   {{ $stubdomain.Domain }}:53 {
     errors
   {{- if $stubdomain.QueryLogging }}
     log
   {{- end }}
     cache 30
     forward . {{ $stubdomain.Nameservers }} {
       max_concurrent 1000
       {{- if ne $.OrderPolicy "" }}
       policy {{ $.OrderPolicy }}
       {{- end }}
     }
   }
   {{- end }}

OnPremAdminCluster のステータスがチェックポイントと実際の CR の間で一致しない

特定の競合状態のため、チェックポイントと実際の CR で OnPremAdminCluster ステータスが一致しない場合があります。この問題が発生した場合、管理クラスタをアップグレードした後に更新するときに、次のエラーが発生することがあります。

Exit with error:
E0321 10:20:53.515562  961695 console.go:93] Failed to update the admin cluster: OnPremAdminCluster "gke-admin-rj8jr" is in the middle of a create/upgrade ("" -> "1.15.0-gke.123"), which must be completed before it can be updated
Failed to update the admin cluster: OnPremAdminCluster "gke-admin-rj8jr" is in the middle of a create/upgrade ("" -> "1.15.0-gke.123"), which must be completed before it can be updated

調整プロセスにより、管理クラスタの管理者証明書が変更される

Google Distributed Cloud は、クラスタ アップグレード時など、調整プロセスごとに管理クラスタのコントロール プレーンの管理証明書を変更します。この動作により、管理クラスタ（特にバージョン 1.15 のクラスタ）で無効な証明書を取得する可能性が高くなります。

この問題の影響を受けている場合、次のような問題が発生する可能性があります。

• 無効な証明書が原因で、次のコマンドがタイムアウトしてエラーを返す場合があります。
  • gkectl create admin
  • gkectl upgrade amdin
  • gkectl update admin

  これらのコマンドは、次のような認可エラーを返す場合があります。

  Failed to reconcile admin cluster: unable to populate admin clients: failed to get admin controller runtime client: Unauthorized

• 管理クラスタの kube-apiserver ログは、次のようなエラーが記録されている場合があります。

  Unable to authenticate the request" err="[x509: certificate has expired or is not yet valid...

回避策:

修正が適用された Google Distributed Cloud のバージョン 1.13.10 以降、1.14.6 以降、1.15.2 以降にアップグレードします。アップグレードできない場合は、この問題の解決のために Cloud カスタマーケアにお問い合わせください。

優先度クラスがないため、Anthos Network Gateway コンポーネントが強制排除されるか、保留中になる

kube-system のネットワーク ゲートウェイ Pod には、次の要約した出力例に示すように、Pending または Evicted のステータスが表示される場合があります。

$ kubectl -n kube-system get pods | grep ang-node
ang-node-bjkkc     2/2     Running     0     5d2h
ang-node-mw8cq     0/2     Evicted     0     6m5s
ang-node-zsmq7     0/2     Pending     0     7h

これらのエラーは、ノードのリソースを原因とする強制排除イベント、または Pod のスケジューリング不能を示しています。Anthos Network Gateway Pod には PriorityClass がないため、他のワークロードと同じデフォルトの優先度が設定されます。ノードにリソース制約がある場合、ネットワーク ゲートウェイ Pod が強制終了される可能性があります。この動作は特に、ang-node DaemonSet では問題になります。これらの Pod は、特定のノードでスケジュールする必要があり、移動することはできません。

回避策:

1.15 以降にアップグレードします。

短期的な解決策として、Anthos Network Gateway コンポーネントに PriorityClass を手動で割り当てる方法があります。Google Distributed Cloud コントローラは、クラスタのアップグレードなどの調整プロセス中に、こうした手動による変更を上書きします。

• system-cluster-critical PriorityClass を ang-controller-manager と autoscaler のクラスタ コントローラの Deployment に割り当てます。
• system-node-critical PriorityClass を ang-daemon ノードの DaemonSet に割り当てます。

クラスタを gcloud に登録した後、管理クラスタのアップグレードが失敗する

gcloud を使用して、空でない gkeConnect セクションに管理クラスタを登録した後、クラスタをアップグレードしようとすると、次のエラーが発生することがあります。

failed to register cluster: failed to apply Hub Mem\
bership: Membership API request failed: rpc error: code = InvalidArgument desc = InvalidFieldError for field endpoint.o\
n_prem_cluster.admin_cluster: field cannot be updated

gke-connect Namespace を削除します。

kubectl delete ns gke-connect --kubeconfig=ADMIN_KUBECONFIG

kubectl get onpremadmincluster -n kube-system --kubeconfig=ADMIN_KUBECONFIG

gcloud container fleet memberships delete ADMIN_CLUSTER_NAME

gkectl diagnose snapshot --log-since が、クラスタノードで実行されている journalctl コマンドの期間を制限できない

これは、クラスタのスナップショットを取得する機能に影響しません。クラスタノードで journalctl を実行すると、デフォルトで収集されるすべてのログがスナップショットに含まれます。したがって、デバッグ情報が失われることはありません。

gkectl prepare windows 失敗します。

MicrosoftDockerProvider が非推奨となっているため、gkectl prepare windows は、1.13 より前のバージョンの Google Distributed Cloud に Docker をインストールできません。

回避策:

この問題を回避する一般的な方法は、Google Distributed Cloud 1.13 にアップグレードし、1.13 の gkectl を使用して Windows VM テンプレートを作成してから、Windows ノードプールを作成する方法です。以下に示すように、現在のバージョンから Google Distributed Cloud 1.13 にするには、次の 2 つの方法があります。

注: 現在のバージョンでこの問題を回避するには、1.13 にアップグレードする必要はありませんが、より多くの手順を手動で行う必要があります。Google までお問い合わせください。

オプション 1: Blue/Green アップグレード

Windows ノードプールを備えた Google Distributed Cloud 1.13 以降のバージョンで新しいクラスタを作成し、ワークロードを新しいクラスタに移行してから、現在のクラスタを破棄できます。最新の Google Distributed Cloud マイナー バージョンを使用することをおすすめします。

注: 新しいクラスタをプロビジョニングするために追加のリソースが必要になりますが、既存のワークロードのダウンタイムや停止は少なくなります。

オプション 2: Windows ノードプールを削除し、Google Distributed Cloud 1.13 にアップグレードする際に再度追加する

注: このオプションの場合、クラスタが 1.13 にアップグレードされ、Windows ノードプールが追加されるまで、Windows ワークロードを実行できません。

1. user-cluster.yaml ファイルから Windows ノードプール構成を削除して、既存の Windows ノードプールを削除してから、次のコマンドを実行します。

   gkectl update cluster --kubeconfig=ADMIN_KUBECONFIG --config USER_CLUSTER_CONFIG_FILE

2. 対応するターゲット マイナー バージョンのアップグレード ユーザーガイドに従って、Linux 専用の管理クラスタとユーザー クラスタを 1.12 にアップグレードします。
3. （1.13 にアップグレードする前に、必ずこの操作を行ってください）enableWindowsDataplaneV2: true が OnPremUserCluster CR で構成されていることを確認します。そうしないと、クラスタは、新しく作成され、Docker がインストールされていない 1.13 Windows VM テンプレートと互換性のない Windows ノードプール用の Docker を引き続き使用します。構成されていないか、false に設定されている場合は、クラスタを更新し、user-cluster.yaml で true に設定してから、次のコマンドを実行します。

   gkectl update cluster --kubeconfig=ADMIN_KUBECONFIG --config USER_CLUSTER_CONFIG_FILE

4. アップグレード ユーザーガイドに従って、Linux 専用の管理クラスタとユーザー クラスタを 1.13 にアップグレードします。
5. 1.13 gkectl を使用して Windows VM テンプレートを準備します。

   gkectl prepare windows --base-vm-template BASE_WINDOWS_VM_TEMPLATE_NAME --bundle-path 1.13_BUNDLE_PATH --kubeconfig=ADMIN_KUBECONFIG

6. OSImage フィールドを新しく作成した Windows VM テンプレートに設定し、Windows ノードプール構成を user-cluster.yaml に再度追加します。
7. クラスタを更新して Windows ノードプールを追加します。

   gkectl update cluster --kubeconfig=ADMIN_KUBECONFIG --config USER_CLUSTER_CONFIG_FILE

RootDistanceMaxSec 構成が ubuntu ノードに反映されない

ノードでは、予想される構成（20 秒）ではなく、RootDistanceMaxSec のデフォルト値（5 秒）が使用されます。/var/log/startup.log にある VM に SSH 接続してノードの起動ログを確認すると、次のエラーが見つかります。

+ has_systemd_unit systemd-timesyncd
/opt/bin/master.sh: line 635: has_systemd_unit: command not found

5 秒の RootDistanceMaxSec が使用された場合、クロック ドリフトが 5 秒を超えると、システム クロックが NTP サーバーと同期しなくなる可能性があります。

回避策:

次の DaemonSet をクラスタに適用して、RootDistanceMaxSec を構成します。

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: change-root-distance
  namespace: kube-system
spec:
  selector:
    matchLabels:
      app: change-root-distance
  template:
    metadata:
      labels:
        app: change-root-distance
    spec:
      hostIPC: true
      hostPID: true
      tolerations:
      # Make sure pods gets scheduled on all nodes.
      - effect: NoSchedule
        operator: Exists
      - effect: NoExecute
        operator: Exists
      containers:
      - name: change-root-distance
        image: ubuntu
        command: ["chroot", "/host", "bash", "-c"]
        args:
        - |
          while true; do
            conf_file="/etc/systemd/timesyncd.conf.d/90-gke.conf"
            if [ -f $conf_file ] && $(grep -q "RootDistanceMaxSec=20" $conf_file); then
              echo "timesyncd has the expected RootDistanceMaxSec, skip update"
            else
              echo "updating timesyncd config to RootDistanceMaxSec=20"
              mkdir -p /etc/systemd/timesyncd.conf.d
              cat > $conf_file << EOF
          [Time]
          RootDistanceMaxSec=20
          EOF
              systemctl restart systemd-timesyncd
            fi
            sleep 600
          done
        volumeMounts:
        - name: host
          mountPath: /host
        securityContext:
          privileged: true
      volumes:
      - name: host
        hostPath:
          path: /

osImageType フィールドが空のため、gkectl update admin が失敗する

バージョン 1.13 の gkectl を使用してバージョン 1.12 の管理クラスタを更新すると、次のエラーが表示されることがあります。

Failed to update the admin cluster: updating OS image type in admin cluster
is not supported in "1.12.x-gke.x"

バージョン 1.13 または 1.14 のクラスタで gkectl update admin を使用すると、レスポンスで次のメッセージが表示されることがあります。

Exit with error:
Failed to update the cluster: the update contains multiple changes. Please
update only one feature at a time

gkectl ログを確認すると、osImageType の設定が空の文字列から ubuntu_containerd に変更されている箇所があります。

これらの更新エラーは、バージョン 1.9 で導入された管理クラスタ構成ファイルの osImageType フィールドが適切にバックフィルされていないために発生しています。

回避策:

修正が適用された Google Distributed Cloud のバージョンにアップグレードします。アップグレードできない場合は、この問題の解決方法を Cloud カスタマーケアにお問い合わせください。

SNI は、コントロール プレーン V2 のユーザー クラスタで動作しない

Controlplane V2 が有効な場合（enableControlplaneV2: true）、authentication.sni を使用するユーザー クラスタの Kubernetes API サーバーに追加のサービス証明書を提供する機能は動作しません。

回避策:

SNI を使用する必要がある場合は、修正を適用した Google Distributed Cloud パッチが利用可能になるまで、Controlplane V2（enableControlplaneV2: false）を無効にします。

非公開レジストリのユーザー名に $ が含まれていると、管理コントロール プレーンのマシンを起動できない

非公開レジストリのユーザー名に $ が含まれている場合、管理コントロール プレーンのマシンが起動できません。 管理コントロール プレーン マシンの /var/log/startup.log に、次のエラーが表示されます。

++ REGISTRY_CA_CERT=xxx
++ REGISTRY_SERVER=xxx
/etc/startup/startup.conf: line 7: anthos: unbound variable

回避策:

$ なしで非公開レジストリのユーザー名を使用するか、修正を適用した Google Distributed Cloud のバージョンを使用します。

管理クラスタ更新中のサポートされていない変更に関する誤検出の警告

管理クラスタを更新すると、ログに次の誤検出の警告が表示されますが、無視してかまいません。

    console.go:47] detected unsupported changes: &v1alpha1.OnPremAdminCluster{
      ...
      -         CARotation:        &v1alpha1.CARotationConfig{Generated: &v1alpha1.CARotationGenerated{CAVersion: 1}},
      +         CARotation:        nil,
      ...
    }

KSA 署名鍵のローテーション後にユーザー クラスタ更新が失敗する

KSA 署名鍵をローテーションした後に、ユーザー クラスタを更新すると、gkectl update が失敗し、次のエラー メッセージが表示される可能性があります。

Failed to apply OnPremUserCluster 'USER_CLUSTER_NAME-gke-onprem-mgmt/USER_CLUSTER_NAME':
admission webhook "vonpremusercluster.onprem.cluster.gke.io" denied the request:
requests must not decrement *v1alpha1.KSASigningKeyRotationConfig Version, old version: 2, new version: 1"

回避策:

1. USER_CLUSTER_NAME Namespace の管理クラスタで Secret を確認し、ksa-signing-key Secret の名前を取得します。

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME get secrets | grep ksa-signing-key

2. ksa-signing-key の Secret をコピーし、コピーした Secret に service-account-cert という名前を付けます。

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME get secret KSA-KEY-SECRET-NAME -oyaml | \
   sed 's/ name: .*/ name: service-account-cert/' | \
   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME apply -f -

3. 以前の ksa-signing-key の Secret を削除します。

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME delete secret KSA-KEY-SECRET-NAME

4. ksa-signing-key-rotation-stage configmap の data.data フィールドを '{"tokenVersion":1,"privateKeyVersion":1,"publicKeyVersions":[1]}' に更新します。

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME \
   edit configmap ksa-signing-key-rotation-stage

5. 検証 Webhook を無効にして、OnPremUserCluster カスタム リソースのバージョン情報を編集します。

   kubectl --kubeconfig=ADMIN_KUBECONFIG patch validatingwebhookconfiguration onprem-user-cluster-controller -p '
   webhooks:
   - name: vonpremnodepool.onprem.cluster.gke.io
     rules:
     - apiGroups:
       - onprem.cluster.gke.io
       apiVersions:
       - v1alpha1
       operations:
       - CREATE
       resources:
       - onpremnodepools
   - name: vonpremusercluster.onprem.cluster.gke.io
     rules:
     - apiGroups:
       - onprem.cluster.gke.io
       apiVersions:
       - v1alpha1
       operations:
       - CREATE
       resources:
       - onpremuserclusters
   '

6. OnPremUserCluster カスタム リソースの spec.ksaSigningKeyRotation.generated.ksaSigningKeyRotation フィールドを 1 に更新します。

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME-gke-onprem-mgmt \
   edit onpremusercluster USER_CLUSTER_NAME

7. ターゲット ユーザー クラスタの準備ができる待機します。ステータスは次の方法で確認できます。

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME-gke-onprem-mgmt \
   get onpremusercluster

8. ユーザー クラスタの検証 Webhook を復元します。

   kubectl --kubeconfig=ADMIN_KUBECONFIG patch validatingwebhookconfiguration onprem-user-cluster-controller -p '
   webhooks:
   - name: vonpremnodepool.onprem.cluster.gke.io
     rules:
     - apiGroups:
       - onprem.cluster.gke.io
       apiVersions:
       - v1alpha1
       operations:
       - CREATE
       - UPDATE
       resources:
       - onpremnodepools
   - name: vonpremusercluster.onprem.cluster.gke.io
     rules:
     - apiGroups:
       - onprem.cluster.gke.io
       apiVersions:
       - v1alpha1
       operations:
       - CREATE
       - UPDATE
       resources:
       - onpremuserclusters
   '

9. 修正が適用されたバージョンにクラスタがアップグレードされるまで、別の KSA 署名鍵のローテーションを使用しないでください。

Terraform がユーザー クラスタを削除したとき、F5 BIG-IP 仮想サーバーがクリーンアップされない

Terraform を使用して、F5 BIG-IP ロードバランサのあるユーザー クラスタを削除すると、クラスタの削除後に F5 BIG-IP 仮想サーバーが削除されません。

回避策:

F5 リソースを削除するには、ユーザー クラスタの F5 パーティションをクリーンアップするの手順に沿って操作します。

kind クラスタが docker.io からコンテナ イメージを pull する

バージョン 1.13.8 またはバージョン 1.14.4 の管理クラスタを作成するか、管理クラスタをバージョン 1.13.8 または 1.14.4 にアップグレードすると、kind クラスタは docker.io から次のコンテナ イメージを pull します。

docker.io が管理ワークステーションからアクセスできない場合、管理クラスタの作成またはアップグレードで kind クラスタを起動できません。管理ワークステーションで次のコマンドを実行すると、ErrImagePull で保留中の対応するコンテナが表示されます。

docker exec gkectl-control-plane kubectl get pods -A

レスポンスには、次のようなエントリが含まれます。

...
kube-system         kindnet-xlhmr                             0/1
    ErrImagePull  0    3m12s
...
local-path-storage  local-path-provisioner-86666ffff6-zzqtp   0/1
    Pending       0    3m12s
...

これらのコンテナ イメージは、kind クラスタのコンテナ イメージにプリロードされている必要があります。ただし、kind v0.18.0 にはプリロードされたコンテナ イメージに問題があるため、誤ってインターネットから pull される可能性があります。

回避策:

管理クラスタの作成またはアップグレードが保留されている間に、管理ワークステーションで次のコマンドを実行します。

docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/kindnetd:v20230330-48f316cd@sha256:c19d6362a6a928139820761475a38c24c0cf84d507b9ddf414a078cf627497af docker.io/kindest/kindnetd:v20230330-48f316cd
docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/kindnetd:v20230330-48f316cd@sha256:c19d6362a6a928139820761475a38c24c0cf84d507b9ddf414a078cf627497af docker.io/kindest/kindnetd@sha256:c19d6362a6a928139820761475a38c24c0cf84d507b9ddf414a078cf627497af

docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/local-path-helper:v20230330-48f316cd@sha256:135203f2441f916fb13dad1561d27f60a6f11f50ec288b01a7d2ee9947c36270 docker.io/kindest/local-path-helper:v20230330-48f316cd
docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/local-path-helper:v20230330-48f316cd@sha256:135203f2441f916fb13dad1561d27f60a6f11f50ec288b01a7d2ee9947c36270 docker.io/kindest/local-path-helper@sha256:135203f2441f916fb13dad1561d27f60a6f11f50ec288b01a7d2ee9947c36270

docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/local-path-provisioner:v0.0.23-kind.0@sha256:f2d0a02831ff3a03cf51343226670d5060623b43a4cfc4808bd0875b2c4b9501 docker.io/kindest/local-path-provisioner:v0.0.23-kind.0
docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/local-path-provisioner:v0.0.23-kind.0@sha256:f2d0a02831ff3a03cf51343226670d5060623b43a4cfc4808bd0875b2c4b9501 docker.io/kindest/local-path-provisioner@sha256:f2d0a02831ff3a03cf51343226670d5060623b43a4cfc4808bd0875b2c4b9501

ネットワークで重複する GARP リクエストが除外されていると、HA コントロール プレーン V2 のユーザー クラスタと管理クラスタでフェイルオーバーが失敗する

クラスタ VM が、重複する GARP（Gratuitous ARP）リクエストを除外するスイッチに接続されている場合、keepalived リーダー選出が競合状態になり、一部のノードで ARP テーブル エントリが正しくなくなる可能性があります。

影響を受けるノードでコントロール プレーン VIP を ping できますが、コントロール プレーン VIP への TCP 接続がタイムアウトします。

回避策:

    iptables -I FORWARD -i ens192 --destination CONTROL_PLANE_VIP -j DROP
    

vCenter 証明書のローテーション後に vsphere-csi-controller を再起動する必要がある

vsphere-csi-controller は、vCenter 証明書のローテーション後に vCenter Secret を更新します。ただし、現在のシステムでは vsphere-csi-controller の Pod が適切に再起動されないため、ローテーション後に vsphere-csi-controller がクラッシュします。

回避策:

1.13 以降のバージョンで作成されたクラスタの場合は、以下の手順で vsphere-csi-controller を再起動します。

kubectl --kubeconfig=ADMIN_KUBECONFIG rollout restart deployment vsphere-csi-controller -n kube-system

クラスタ登録でエラーが発生しても、管理クラスタの作成が失敗しない

管理クラスタの作成中にクラスタ登録が失敗した場合でも、gkectl create admin コマンドがエラーで失敗せず、成功することがあります。つまり、フリートに登録されることなく管理クラスタの作成が「成功」する可能性があります。

Failed to register admin cluster

また、Cloud コンソールで登録済みクラスタの中にクラスタがあるかどうか確認できます。

回避策:

1.12 以降のバージョンで作成されたクラスタの場合は、クラスタの作成後に管理クラスタの登録の再試行の手順に沿って操作してください。以前のバージョンで作成されたクラスタで、次の操作を行います。

1. foo: bar のような架空の Key-Value ペアを connect-register SA キーファイルに追加します。
2. gkectl update admin を実行して、管理クラスタを再登録します。

管理クラスタのアップグレード中に管理クラスタの再登録がスキップされることがある

管理クラスタのアップグレード中に、ユーザー コントロール プレーン ノードのアップグレードがタイムアウトすると、管理クラスタが更新後の Connect Agent バージョンに再登録されません。

回避策:

1. foo: bar のような架空の Key-Value ペアを connect-register SA キーファイルに追加します。
2. gkectl update admin を実行して、管理クラスタを再登録します。

vCenter.dataDisk に関する誤ったエラー メッセージ

高可用性管理クラスタで、gkectl prepare が次のような誤ったエラー メッセージを表示します。

vCenter.dataDisk must be present in the AdminCluster spec

回避策:

このエラーは無視してかまいません。

冗長な VM-Host アフィニティ ルールが原因でノードプールの作成が失敗する

VM ホスト アフィニティを使用するノードプールの作成中に、競合状態が原因で、同じ名前を持つ複数の VM ホスト アフィニティ ルールが作成されることがあります。これにより、ノードプールの作成が失敗する可能性があります。

回避策:

古い冗長ルールを削除します。これにより、ノードプールの作成を続行できるようになります。これらのルールの名前は [USER_CLUSTER_NAME]-[HASH] です。

failed to delete the admin master node object and reboot the admin master VM が原因で gkectl repair admin-master が失敗することがある

競合状態のため、gkectl repair admin-master コマンドが次のエラーで失敗する場合があります。

Failed to repair: failed to delete the admin master node object and reboot the admin master VM

回避策:

このコマンドはべき等です。コマンドが成功するまで安全に再実行できます。

コントロール プレーン ノードの再作成または更新後に Pod が失敗状態のままになる

コントロール プレーン ノードの再作成または更新後に、NodeAffinity の述語のエラーにより、特定の Pod が Failed 状態のままになる場合があります。このような失敗状態の Pod は、通常のクラスタ オペレーションや正常性には影響しません。

回避策:

失敗した Pod を無視するか、手動で削除します。

非公開レジストリの認証情報のため、OnPremUserCluster の準備ができていない

準備済みの認証情報と非公開レジストリを使用していても、非公開レジストリ用に準備された認証情報を構成していない場合、OnPremUserCluster が準備完了にならず、次のエラー メッセージが表示される場合があります。

failed to check secret reference for private registry …

回避策:

準備済みの認証情報の構成の手順に従って、ユーザー クラスタの非公開レジストリの認証情報を準備します。

gkectl upgrade admin が StorageClass standard sets the parameter diskformat which is invalid for CSI Migration で失敗する

gkectl upgrade admin 中に、CSI 移行のストレージ プリフライト チェックは、CSI 移行の後に無視されるパラメータが StorageClasses にないことを確認します。たとえば、パラメータ diskformat を伴う StorageClass がある場合、gkectl upgrade admin は StorageClass にフラグを付け、プリフライト検証で失敗を報告します。 Google Distributed Cloud 1.10 以前で作成された管理クラスタには、diskformat: thin が設定された StorageClass があります。このため、この検証は失敗しますが、この StorageClass は CSI 移行の後も正常に動作します。このエラーは、警告として解釈する必要があります。

詳細については、in-tree vSphere ボリュームの vSphere コンテナ ストレージ プラグインへの移行の StorageClass パラメータのセクションをご覧ください。

回避策:

CSI 移行後に、CSI 移行の後で無視されるパラメータのある StorageClass がクラスタに存在することを確認したら、--skip-validation-cluster-health フラグを使用して gkectl upgrade admin を実行します。

Windows ファイル システムを使用して移行された in-tree vSphere ボリュームは、vSphere CSI ドライバで使用できない

特定の条件下では、Windows ノードにディスクを読み取り専用としてアタッチできます。これにより、対応するボリュームが Pod 内で読み取り専用になります。この問題は、新しいノードのセットが古いノードのセットを置き換える場合（クラスタのアップグレードやノードプールの更新など）に発生する可能性が高くなります。以前に正常に動作していたステートフル ワークロードは、新しいノードのセットにあるボリュームに書き込めなくなる可能性があります。

回避策:

1. ボリュームに書き込めない Pod の UID を取得します。

   kubectl --kubeconfig USER_CLUSTER_KUBECONFIG get pod \
       POD_NAME --namespace POD_NAMESPACE \
       -o=jsonpath='{.metadata.uid}{"\n"}'

2. PersistentVolumeClaim を使用して PersistentVolume の名前を取得します。

   kubectl --kubeconfig USER_CLUSTER_KUBECONFIG get pvc \
       PVC_NAME --namespace POD_NAMESPACE \
       -o jsonpath='{.spec.volumeName}{"\n"}'

3. Pod が実行されているノードの名前を確認します。

   kubectl --kubeconfig USER_CLUSTER_KUBECONFIGget pods \
       --namespace POD_NAMESPACE \
       -o jsonpath='{.spec.nodeName}{"\n"}'

4. SSH または vSphere ウェブ インターフェースを使用して、ノードへの PowerShell アクセスを取得します。
5. 環境変数を設定します。

   PS C:\Users\administrator> pvname=PV_NAME
   PS C:\Users\administrator> podid=POD_UID

6. PersistentVolume に関連付けられているディスクのディスク番号を特定します。

   PS C:\Users\administrator> disknum=(Get-Partition -Volume (Get-Volume -UniqueId ("\\?\"+(Get-Item (Get-Item
   "C:\var\lib\kubelet\pods\$podid\volumes\kubernetes.io~csi\$pvname\mount").Target).Target))).DiskNumber

7. ディスクが readonly であることを確認します。

   PS C:\Users\administrator> (Get-Disk -Number $disknum).IsReadonly

   結果は True のようになります。
8. readonly を false に設定します。

   PS C:\Users\administrator> Set-Disk -Number $disknum -IsReadonly $false
   PS C:\Users\administrator> (Get-Disk -Number $disknum).IsReadonly

9. Pod を削除して再起動できるようにします。

   kubectl --kubeconfig USER_CLUSTER_KUBECONFIG delete pod POD_NAME \
       --namespace POD_NAMESPACE

10. Pod は同じノードにスケジュールされる必要があります。ただし、Pod が新しいノードにスケジュールされている場合は、新しいノードで上記の手順を繰り返す必要があります。

gkectl update credentials vsphere --admin-cluster の後に vsphere-csi-secret が更新されない

クラスタ認証情報の更新後に管理クラスタの vSphere 認証情報を更新した場合、管理クラスタの kube-system 名前空間で vsphere-csi-secret が引き続き古い認証情報を使用することがあります。

回避策:

1. vsphere-csi-secret Secret 名を取得します。

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=kube-system get secrets | grep vsphere-csi-secret

2. 上記の手順で取得した vsphere-csi-secret Secret のデータを更新します。

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=kube-system patch secret CSI_SECRET_NAME -p \
     "{\"data\":{\"config\":\"$( \
       kubectl --kubeconfig=ADMIN_KUBECONFIG -n=kube-system get secrets CSI_SECRET_NAME -ojsonpath='{.data.config}' \
         | base64 -d \
         | sed -e '/user/c user = \"VSPHERE_USERNAME_TO_BE_UPDATED\"' \
         | sed -e '/password/c password = \"VSPHERE_PASSWORD_TO_BE_UPDATED\"' \
         | base64 -w 0 \
       )\"}}"

3. vsphere-csi-controller を再起動します。

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=kube-system rollout restart deployment vsphere-csi-controller

4. ロールアウトのステータスは次の方法で追跡できます。

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=kube-system rollout status deployment vsphere-csi-controller

   Deployment が正常にロールアウトされたら、更新された vsphere-csi-secret をコントローラで使用する必要があります。

gkectl update cluster で Cloud Audit Logs を有効にすると audit-proxy がクラッシュループする

audit-proxy は、空の --cluster-name が原因でクラッシュ ループすることがあります。この動作は、クラスタ名が audit-proxy Pod とコンテナ マニフェストに伝播されない更新ロジックのバグが原因で発生します。

回避策:

enableControlplaneV2: true の Controlplane v2 ユーザー クラスタの場合は、SSH を使用してユーザー コントロール プレーンのマシンに接続し、--cluster_name=USER_CLUSTER_NAME で /etc/kubernetes/manifests/audit-proxy.yaml を更新します。

コントロール プレーン v1 ユーザー クラスタの場合は、kube-apiserver StatefulSet の audit-proxy コンテナを編集して --cluster_name=USER_CLUSTER_NAME を追加します。

kubectl edit statefulset kube-apiserver -n USER_CLUSTER_NAME --kubeconfig=ADMIN_CLUSTER_KUBECONFIG

gkectl upgrade cluster の直後に、追加のコントロール プレーンが再デプロイされる

gkectl upgrade cluster の直後に、コントロール プレーン Pod が再デプロイされることがあります。gkectl list clusters のクラスタの状態が RUNNING から RECONCILING に変わります。ユーザー クラスタへのリクエストがタイムアウトになる可能性があります。

この動作は、gkectl upgrade cluster の後にコントロール プレーンの証明書のローテーションが自動的に行われるために発生します。

この問題は、Controlplane v2 を使用していないユーザー クラスタでのみ発生します。

回避策:

クラスタの状態が gkectl list clusters で再び RUNNING に戻るまで待つか、修正を含むバージョン 1.13.6 以降、1.14.2 以降、または 1.15 以降にアップグレードします。

不正なリリース 1.12.7-gke.19 が削除されました。

Google Distributed Cloud 1.12.7-gke.19 には問題があるため、使用しないでください。これらのアーティファクトは、Cloud Storage バケットから削除されています。

回避策:

代わりに 1.12.7-gke.20 リリースを使用してください。

gke-connect-agent で、レジストリ認証情報の更新後も引き続き古いイメージが使用される

次のいずれかの方法でレジストリの認証情報を更新した場合:

• gkectl update credentials componentaccess（非公開レジストリを使用していない場合）
• gkectl update credentials privateregistry（非公開レジストリを使用している場合）

gke-connect-agent が引き続き古いイメージを使用するか、ImagePullBackOff が原因で gke-connect-agent Pod を pull できない場合があります。

この問題は、Google Distributed Cloud リリース 1.13.8、1.14.4、およびそれ以降のリリースで修正される予定です。

回避策:

オプション 1: gke-connect-agent を手動で再デプロイします。

1. gke-connect 名前空間を削除します。

   kubectl --kubeconfig=KUBECONFIG delete namespace gke-connect

2. 元の登録サービス アカウント キーを使用して gke-connect-agent を再デプロイします（鍵を更新する必要はありません）。
   管理クラスタの場合:

   gkectl update credentials register --kubeconfig=ADMIN_CLUSTER_KUBECONFIG --config ADMIN_CLUSTER_CONFIG_FILE --admin-cluster

   ユーザー クラスタの場合:

   gkectl update credentials register --kubeconfig=ADMIN_CLUSTER_KUBECONFIG --config USER_CLUSTER_CONFIG_FILE

オプション 2: gke-connect-agent Deployment で使用されるイメージ pull Secret regcred のデータを手動で変更できます。

kubectl --kubeconfig=KUBECONFIG -n=gke-connect patch secrets regcred -p "{\"data\":{\".dockerconfigjson\":\"$(kubectl --kubeconfig=KUBECONFIG -n=kube-system get secrets private-registry-creds -ojsonpath='{.data.\.dockerconfigjson}')\"}}"

オプション 3: gke-connect-agent Deployment のクラスタのデフォルトのイメージ pull Secret を以下の方法で追加できます。

1. デフォルトの Secret を gke-connect 名前空間にコピーします。

   kubectl --kubeconfig=KUBECONFIG -n=kube-system get secret private-registry-creds -oyaml | sed 's/ namespace: .*/ namespace: gke-connect/' | kubectl --kubeconfig=KUBECONFIG -n=gke-connect apply -f -

2. gke-connect-agent Deployment 名を取得します。

   kubectl --kubeconfig=KUBECONFIG -n=gke-connect get deployment | grep gke-connect-agent

3. デフォルトの Secret を gke-connect-agent Deployment に追加します。

   kubectl --kubeconfig=KUBECONFIG -n=gke-connect patch deployment DEPLOYMENT_NAME -p '{"spec":{"template":{"spec":{"imagePullSecrets": [{"name": "private-registry-creds"}, {"name": "regcred"}]}}}}'

手動の LB 構成チェックの失敗

手動ロードバランサを使用してクラスタを作成する前に、gkectl check-config を実行して構成を検証すると、次のエラー メッセージでコマンドが失敗します。

 - Validation Category: Manual LB    Running validation check for "Network
configuration"...panic: runtime error: invalid memory address or nil pointer
dereference

回避策:

オプション 1: 修正が適用されたパッチ バージョン 1.13.7 または 1.14.4 を使用します。

オプション 2: 同じコマンドを実行して構成を検証し、ロードバランサの検証をスキップします。

gkectl check-config --skip-validation-load-balancer

etcd ウォッチの不足

etcd バージョン 3.4.13 以前を実行しているクラスタで、ウォッチが不足したり、動作していないリソースのウォッチが発生する場合があります。これにより、次の問題が発生する可能性があります。

• Pod のスケジューリングが中断される
• ノードが登録できない
• kubelet が Pod の変更をモニタリングしない

これらの問題により、クラスタが機能しなくなる場合があります。

この問題は、Google Distributed Cloud リリース 1.12.7、1.13.6、1.14.3 以降のリリースで修正されています。これらの新しいリリースでは、etcd バージョン 3.4.21 が使用されています。Google Distributed Cloud の以前のバージョンはすべて、この問題の影響を受けます。

回避策

直ちにアップグレードできない場合は、クラスタ内のノード数を減らすことで、クラスタ障害のリスクを軽減できます。etcd_network_client_grpc_sent_bytes_total 指標が 300 MBps 未満になるまでノードを削除します。

この指標を Metrics Explorer で表示するには:

1. Google Cloud コンソールで [Metrics Explorer] に移動します。

   [Metrics Explorer] に移動

2. [構成] タブを選択します。
3. [指標の選択] を展開し、フィルタバーに「Kubernetes Container」と入力してから、サブメニューを使用して指標を選択します。
   1. [有効なリソース] メニューで [Kubernetes コンテナ] を選択します。
   2. [有効な指標カテゴリ] メニューで [Anthos] を選択します。
   3. [アクティブな指標] メニューで [etcd_network_client_grpc_sent_bytes_total] を選択します。
   4. [適用] をクリックします。

GKE Identity Service が原因でコントロール プレーンのレイテンシが高くなる

クラスタの再起動またはアップグレード後に、認証 Webhook を介して kube-apiserver から GKE Identity Service に転送された期限切れの JWT トークンで構成されるトラフィックで、GKE Identity Service が過負荷状態になる可能性があります。GKE Identity Service はクラッシュ ループしませんが、応答不能となり、それ以上リクエストを処理できなくなります。この問題は、最終的にコントロール プレーンの高いレイテンシにつながります。

この問題は、次の Google Distributed Cloud リリースで修正されています。

• 1.12.6+
• 1.13.6+
• 1.14.2+

この問題の影響を受けるかどうかを判断するには、次の操作を行います。

1. GKE Identity Service エンドポイントに外部からアクセスできるかどうか確認します。

   curl -s -o /dev/null -w "%{http_code}" \
       -X POST https://CLUSTER_ENDPOINT/api/v1/namespaces/anthos-identity-service/services/https:ais:https/proxy/authenticate -d '{}'

   CLUSTER_ENDPOINT は、クラスタのコントロール プレーン VIP とコントロール プレーン ロードバランサのポートに置き換えます（たとえば、172.16.20.50:443）。

   この問題の影響を受ける場合、コマンドはステータス コード 400 を返します。リクエストがタイムアウトした場合は、ais Pod を再起動し、curl コマンドを再実行して、問題が解決するかどうかを確認します。ステータス コード 000 が返された場合、問題は解決されており、完了です。ステータス コード 400 が返された場合は、GKE Identity Service の HTTP サーバーが起動していません。その場合は、次の操作を行います。

2. GKE Identity Service と kube-apiserver のログを確認します。
   1. GKE Identity Service のコンテナログを確認します。

      kubectl logs -f -l k8s-app=ais -n anthos-identity-service \
          --kubeconfig KUBECONFIG

      ログに次のようなエントリがある場合は、この問題の影響を受けています。

      I0811 22:32:03.583448      32 authentication_plugin.cc:295] Stopping OIDC authentication for ???. Unable to verify the OIDC ID token: JWT verification failed: The JWT does not appear to be from this identity provider. To match this provider, the 'aud' claim must contain one of the following audiences:

   2. クラスタの kube-apiserver ログを確認します。

      次のコマンドを実行します。KUBE_APISERVER_POD は、指定されたクラスタ上の kube-apiserver Pod の名前です。

      管理クラスタ:

      kubectl --kubeconfig ADMIN_KUBECONFIG logs \
          -n kube-system KUBE_APISERVER_POD kube-apiserver

      ユーザー クラスタ:

      kubectl --kubeconfig ADMIN_KUBECONFIG logs \
          -n USER_CLUSTER_NAME KUBE_APISERVER_POD kube-apiserver

      kube-apiserver ログに次のようなエントリがある場合は、この問題の影響を受けています。

      E0811 22:30:22.656085       1 webhook.go:127] Failed to make webhook authenticator request: error trying to reach service: net/http: TLS handshake timeout
      E0811 22:30:22.656266       1 authentication.go:63] "Unable to authenticate the request" err="[invalid bearer token, error trying to reach service: net/http: TLS handshake timeout]"

回避策

クラスタをすぐにアップグレードして修正できない場合は、回避策として問題の Pod を特定して再起動します。

1. GKE Identity Service のログの詳細レベルを 9 にします。

   kubectl patch deployment ais -n anthos-identity-service --type=json \
       -p='[{"op": "add", "path": "/spec/template/spec/containers/0/args/-", \
       "value":"--vmodule=cloud/identity/hybrid/charon/*=9"}]' \
       --kubeconfig KUBECONFIG

2. GKE Identity Service のログで、無効なトークン コンテキストを確認します。

   kubectl logs -f -l k8s-app=ais -n anthos-identity-service \
       --kubeconfig KUBECONFIG

3. 無効な各トークン コンテキストに関連付けられたトークン ペイロードを取得するには、次のコマンドを使用して、関連する各サービス アカウントの Secret を解析します。

   kubectl -n kube-system get secret SA_SECRET \
       --kubeconfig KUBECONFIG \
       -o jsonpath='{.data.token}' | base64 --decode

4. トークンをデコードしてソース Pod の名前と Namespace を確認します。jwt.io のデバッガにトークンをコピーします。
5. トークンから特定された Pod を再起動します。

etcd-maintenance Pod のメモリ使用量の増加の問題

etcddefrag:gke_master_etcddefrag_20210211.00_p0 イメージを使用する etcd-maintenance Pod が影響を受けます。etcddefrag コンテナは、デフラグ サイクルのたびに etcd サーバーとの接続を新たに開始しますが、古い接続はクリーンアップされません。

回避策:

オプション 1: 修正が適用されている最新のパッチ バージョンにアップグレードします（1.8 から 1.11）。

オプション 2: 1.9.6 と 1.10.3 より前のパッチ バージョンを使用している場合は、管理クラスタとユーザー クラスタの etcd-maintenance Pod をスケールダウンする必要があります。

kubectl scale --replicas 0 deployment/gke-master-etcd-maintenance -n USER_CLUSTER_NAME --kubeconfig ADMIN_CLUSTER_KUBECONFIG
kubectl scale --replicas 0 deployment/gke-master-etcd-maintenance -n kube-system --kubeconfig ADMIN_CLUSTER_KUBECONFIG

ユーザー クラスタ コントロール プレーン Pod のヘルスチェックを受けない

クラスタのヘルス コントローラと gkectl diagnose cluster コマンドは、どちらも Namespace 全体の Pod のヘルスチェックを含む一連のヘルスチェックを実行します。しかし、ユーザー コントロール プレーン Pod が誤ってスキップされます。Controlplane v2 モードを使用している場合、これはクラスタに影響しません。

回避策:

これは、ワークロードやクラスタ管理には影響しません。コントロール プレーン Pod の健全性を確認するには、次のコマンドを実行します。

kubectl get pods -owide -n USER_CLUSTER_NAME --kubeconfig ADMIN_CLUSTER_KUBECONFIG

1.6 と 1.7 の管理クラスタをアップグレードすると、k8s.gcr.io から registry.k8s.io へのリダイレクトの影響を受ける可能性がある

2023 年 3 月 20 日、Kubernetes はトラフィックを k8s.gcr.io から registry.k8s.io にリダイレクトしました。Google Distributed Cloud 1.6.x と 1.7.x では、管理クラスタのアップグレードでコンテナ イメージ k8s.gcr.io/pause:3.2 を使用します。管理ワークステーションにプロキシを使用しているときに、プロキシで registry.k8s.io が許可されておらず、コンテナ イメージ k8s.gcr.io/pause:3.2 がローカルにキャッシュに保存されていないと、コンテナ イメージの pull 時に管理クラスタのアップグレードが失敗します。

回避策:

管理ワークステーションのプロキシの許可リストに registry.k8s.io を追加します。

ロードバランサの作成時に Seesaw の検証が失敗する

gkectl create loadbalancer が失敗し、次のエラー メッセージが表示されます。

- Validation Category: Seesaw LB - [FAILURE] Seesaw validation: xxx cluster lb health check failed: LB"xxx.xxx.xxx.xxx" is not healthy: Get "http://xxx.xxx.xxx.xxx:xxx/healthz": dial tcpxxx.xxx.xxx.xxx:xxx: connect: no route to host

これは、Seesaw グループ ファイルがすでに存在しているためです。プリフライト チェックで、存在しない Seesaw ロードバランサの検証が行われます。

回避策:

このクラスタの既存の Seesaw グループ ファイルを削除します。管理クラスタの場合、ファイル名は seesaw-for-gke-admin.yaml です。ユーザー クラスタの場合は seesaw-for-{CLUSTER_NAME}.yaml になります。

conntrack テーブル挿入エラーによるアプリケーション タイムアウト

Google Distributed Cloud バージョン 1.14 では、Ubuntu または COS オペレーティング システム イメージを使用しているときに、netfilter 接続トラッキング（conntrack）テーブルで挿入エラーが発生する可能性があります。挿入の失敗はランダムなアプリケーション タイムアウトにつながり、conntrack テーブルに新しいエントリ用のスペースがある場合でも発生する可能性があります。エラーは、チェーン長に基づいてテーブルの挿入を制限するカーネル 5.15 以降の変更が原因です。

この問題の影響を受けるかどうかを確認するには、次のコマンドを使用して、各ノードのカーネル内の接続トラッキング システムの統計情報を確認します。

sudo conntrack -S

レスポンスは次のようになります。

cpu=0       found=0 invalid=4 insert=0 insert_failed=0 drop=0 early_drop=0 error=0 search_restart=0 clash_resolve=0 chaintoolong=0
cpu=1       found=0 invalid=0 insert=0 insert_failed=0 drop=0 early_drop=0 error=0 search_restart=0 clash_resolve=0 chaintoolong=0
cpu=2       found=0 invalid=16 insert=0 insert_failed=0 drop=0 early_drop=0 error=0 search_restart=0 clash_resolve=0 chaintoolong=0
cpu=3       found=0 invalid=13 insert=0 insert_failed=0 drop=0 early_drop=0 error=0 search_restart=0 clash_resolve=0 chaintoolong=0
cpu=4       found=0 invalid=9 insert=0 insert_failed=0 drop=0 early_drop=0 error=0 search_restart=0 clash_resolve=0 chaintoolong=0
cpu=5       found=0 invalid=1 insert=0 insert_failed=0 drop=0 early_drop=0 error=519 search_restart=0 clash_resolve=126 chaintoolong=0
...

レスポンスの chaintoolong 値がゼロ以外であれば、この問題の影響を受けています。

回避策

短期的な緩和策としては、netfiler ハッシュ テーブル（nf_conntrack_buckets）と netfilter 接続トラッキング テーブル（nf_conntrack_max）の両方のサイズを拡大します。テーブルのサイズを拡大するには、各クラスタノードで次のコマンドを実行します。

sysctl -w net.netfilter.nf_conntrack_buckets=TABLE_SIZE
sysctl -w net.netfilter.nf_conntrack_max=TABLE_SIZE

TABLE_SIZE は、新しいサイズ（バイト数）に置き換えます。デフォルトのテーブルサイズ値は 262144 です。ノードのコア数の 65,536 倍に等しい値を設定することをおすすめします。たとえば、ノードに 8 個のコアがある場合は、テーブルサイズを 524288 に設定します。

Controlplane v2 を使用した Windows ノードで calico-typha または anetd-operator クラッシュ ループが発生する

Controlplane V2 が有効になっている場合、calico-typha または anetd-operator が Windows ノードにスケジュールされ、クラッシュ ループが発生する可能性があります。

これは、2 つの Deployment で Windows ノード taint を含むすべての taint が許容されるためです。

回避策:

1.13.3 以降にアップグレードするか、次のコマンドを実行して calico-typha または anetd-operator Deployment を編集します。

    # If dataplane v2 is not used.
    kubectl edit deployment -n kube-system calico-typha --kubeconfig USER_CLUSTER_KUBECONFIG
    # If dataplane v2 is used.
    kubectl edit deployment -n kube-system anetd-operator --kubeconfig USER_CLUSTER_KUBECONFIG
    

次の spec.template.spec.tolerations を削除します。

    - effect: NoSchedule
      operator: Exists
    - effect: NoExecute
      operator: Exists
    

次の Toleration を追加します。

    - key: node-role.kubernetes.io/master
      operator: Exists
    

ユーザー クラスタの非公開レジストリの認証情報ファイルを読み込めない

認証情報 fileRef を使用して privateRegistry セクションを指定すると、ユーザー クラスタを作成できない場合があります。プリフライトが失敗して次のメッセージが表示される場合があります。

[FAILURE] Docker registry access: Failed to login.

回避策:

• このフィールドの指定が意図したものではない場合や、管理クラスタと同じ非公開レジストリの認証情報を使用する場合は、ユーザー クラスタ構成ファイルの privateRegistry セクションを削除するか、コメントします。
• ユーザー クラスタに特定の非公開レジストリの認証情報を使用する場合は、次のように privateRegistry セクションを一時的に指定します。

  privateRegistry:
    address: PRIVATE_REGISTRY_ADDRESS
    credentials:
      username: PRIVATE_REGISTRY_USERNAME
      password: PRIVATE_REGISTRY_PASSWORD
    caCertPath: PRIVATE_REGISTRY_CACERT_PATH

  （注: これは一時的な修正であり、これらのフィールドはすでに非推奨です。1.14.3 以降にアップグレードする場合は、認証情報ファイルの使用を検討してください）。

Cloud Service Mesh と他のサービス メッシュが Dataplane v2 と互換性がない

データプレーン V2 はロード バランシングを引き受け、パケットベースの DNAT の代わりにカーネル ソケットを作成します。Pod はバイパスされ、IPTables は使用されないため、Cloud Service Mesh はパケット検査を実施できません。

サイドカーはパケット検査を実行できないため、kube-proxy のフリーモードでは、接続が失われるか、Cloud Service Mesh を使用したサービスでトラフィック ルーティングが正しく行われません。

この問題は、Google Distributed Cloud 1.10 のすべてのバージョンで発生しますが、1.10（1.10.2 以降）の一部の新しいバージョンには回避策があります。

回避策:

完全な互換性を確保する場合は 1.11 にアップグレードします。1.10.2 以降を実行している場合は以下を実行します。

    kubectl edit cm -n kube-system cilium-config --kubeconfig USER_CLUSTER_KUBECONFIG
    

configmap に bpf-lb-sock-hostns-only: true を追加し、anendd DaemonSet を再起動します。

      kubectl rollout restart ds anetd -n kube-system --kubeconfig USER_CLUSTER_KUBECONFIG
    

kube-controller-manager が 6 分後に永続ボリュームを強制的に切断することがある

PV / PVC を切断するときに、kube-controller-manager が 6 分後にタイムアウトし、PV / PVC を強制的に切断する場合があります。kube-controller-manager の詳細ログには、次のようなイベントが表示されます。

$ cat kubectl_logs_kube-controller-manager-xxxx | grep "DetachVolume started" | grep expired

kubectl_logs_kube-controller-manager-gke-admin-master-4mgvr_--container_kube-controller-manager_--kubeconfig_kubeconfig_--request-timeout_30s_--namespace_kube-system_--timestamps:2023-01-05T16:29:25.883577880Z W0105 16:29:25.883446       1 reconciler.go:224] attacherDetacher.DetachVolume started for volume "pvc-8bb4780b-ba8e-45f4-a95b-19397a66ce16" (UniqueName: "kubernetes.io/csi/csi.vsphere.vmware.com^126f913b-4029-4055-91f7-beee75d5d34a") on node "sandbox-corp-ant-antho-0223092-03-u-tm04-ml5m8-7d66645cf-t5q8f"
This volume is not safe to detach, but maxWaitForUnmountDuration 6m0s expired, force detaching

この問題を確認するには、ノードにログインして次のコマンドを実行します。

# See all the mounting points with disks
lsblk -f

# See some ext4 errors
sudo dmesg -T

kubelet ログに次のようなエラーが表示されます。

Error: GetDeviceMountRefs check failed for volume "pvc-8bb4780b-ba8e-45f4-a95b-19397a66ce16" (UniqueName: "kubernetes.io/csi/csi.vsphere.vmware.com^126f913b-4029-4055-91f7-beee75d5d34a") on node "sandbox-corp-ant-antho-0223092-03-u-tm04-ml5m8-7d66645cf-t5q8f" :
the device mount path "/var/lib/kubelet/plugins/kubernetes.io/csi/pv/pvc-8bb4780b-ba8e-45f4-a95b-19397a66ce16/globalmount" is still mounted by other references [/var/lib/kubelet/plugins/kubernetes.io/csi/pv/pvc-8bb4780b-ba8e-45f4-a95b-19397a66ce16/globalmount

回避策:

SSH を使用して影響を受けているノードに接続し、ノードを再起動します。

サードパーティの CSI ドライバを使用していると、クラスタのアップグレードが停止する

サードパーティの CSI ドライバを使用している場合、クラスタをアップグレードできないことがあります。gkectl cluster diagnose コマンドから次のエラーが返されることがあります。

"virtual disk "kubernetes.io/csi/csi.netapp.io^pvc-27a1625f-29e3-4e4f-9cd1-a45237cc472c" IS NOT attached to machine "cluster-pool-855f694cc-cjk5c" but IS listed in the Node.Status"

回避策:

--skip-validation-all オプションを使用してアップグレードします。

gkectl repair admin-master が、VM ハードウェアのバージョンをアップグレードせずに管理マスター VM を作成する

gkectl repair admin-master を介して作成された管理マスターノードが、想定より古い VM ハードウェア バージョンを使用することがあります。問題が発生すると、gkectl diagnose cluster レポートにエラーが記録されます。

CSIPrerequisites [VM Hardware]: The current VM hardware versions are lower than vmx-15 which is unexpected. Please contact Anthos support to resolve this issue.

回避策:

管理マスターノードをシャットダウンし、https://kb.vmware.com/s/article/1003746 に従って、エラー メッセージで示されている想定バージョンにノードをアップグレードしてから、ノードを起動します。

VM のシャットダウン / 再起動時に DHCP リースが予期せずに解放され、IP が変更されることがある

systemd v244 では、systemd-networkd の KeepConfiguration 構成でデフォルトの動作が変更されました。変更前は、VM のシャットダウンまたは再起動時に DHCP リースの解放メッセージは DHCP サーバーに送信されませんでした。変更後、VM はこのようなメッセージを送信して、IP を DHCP サーバーに返却します。その結果、解放された IP が別の VM に割り当てられたり、VM に異なる IP が割り当てられ、VM 上で IP 競合（vSphere レベルではなく Kubernetes レベルで）や IP 変更が発生し、クラスタが破損する可能性があります。

たとえば、次のような症状が発生します。

• vCenter UI では、同じ IP を使用する VM はありませんが、kubectl get nodes -o wide を実行すると、重複する IP を持つノードが報告されます。

  NAME   STATUS    AGE  VERSION          INTERNAL-IP    EXTERNAL-IP    OS-IMAGE            KERNEL-VERSION    CONTAINER-RUNTIME
  node1  Ready     28h  v1.22.8-gke.204  10.180.85.130  10.180.85.130  Ubuntu 20.04.4 LTS  5.4.0-1049-gkeop  containerd://1.5.13
  node2  NotReady  71d  v1.22.8-gke.204  10.180.85.130  10.180.85.130  Ubuntu 20.04.4 LTS  5.4.0-1049-gkeop  containerd://1.5.13

• calico-node エラーにより、新しいノードを起動できません。

  2023-01-19T22:07:08.817410035Z 2023-01-19 22:07:08.817 [WARNING][9] startup/startup.go 1135: Calico node 'node1' is already using the IPv4 address 10.180.85.130.
  2023-01-19T22:07:08.817514332Z 2023-01-19 22:07:08.817 [INFO][9] startup/startup.go 354: Clearing out-of-date IPv4 address from this node IP="10.180.85.130/24"
  2023-01-19T22:07:08.825614667Z 2023-01-19 22:07:08.825 [WARNING][9] startup/startup.go 1347: Terminating
  2023-01-19T22:07:08.828218856Z Calico node failed to start

回避策:

クラスタに次の DaemonSet をデプロイして、systemd-networkd のデフォルトの動作を元に戻します。この DaemonSet を実行する VM は、シャットダウン / 再起動時に IP を DHCP サーバーに返却しません。リースが期限切れになると、IP は DHCP サーバーによって自動的に解放されます。

      apiVersion: apps/v1
      kind: DaemonSet
      metadata:
        name: set-dhcp-on-stop
      spec:
        selector:
          matchLabels:
            name: set-dhcp-on-stop
        template:
          metadata:
            labels:
              name: set-dhcp-on-stop
          spec:
            hostIPC: true
            hostPID: true
            hostNetwork: true
            containers:
            - name: set-dhcp-on-stop
              image: ubuntu
              tty: true
              command:
              - /bin/bash
              - -c
              - |
                set -x
                date
                while true; do
                  export CONFIG=/host/run/systemd/network/10-netplan-ens192.network;
                  grep KeepConfiguration=dhcp-on-stop "${CONFIG}" > /dev/null
                  if (( $? != 0 )) ; then
                    echo "Setting KeepConfiguration=dhcp-on-stop"
                    sed -i '/\[Network\]/a KeepConfiguration=dhcp-on-stop' "${CONFIG}"
                    cat "${CONFIG}"
                    chroot /host systemctl restart systemd-networkd
                  else
                    echo "KeepConfiguration=dhcp-on-stop has already been set"
                  fi;
                  sleep 3600
                done
              volumeMounts:
              - name: host
                mountPath: /host
              resources:
                requests:
                  memory: "10Mi"
                  cpu: "5m"
              securityContext:
                privileged: true
            volumes:
            - name: host
              hostPath:
                path: /
            tolerations:
            - operator: Exists
              effect: NoExecute
            - operator: Exists
              effect: NoSchedule