Google Distributed Cloud (apenas software) para problemas conhecidos do VMware

Não foi possível atualizar o cluster de utilizadores não de HA para o cluster avançado de HA devido ao campo masterNode.replicas imutável

A utilização de gkectl update para atualizar um cluster de utilizadores de não elevada disponibilidade (não HA) para um cluster avançado com um plano de controlo de HA falha e apresenta a seguinte mensagem de erro:

Failed to generate diff summary: failed to get desired onprem user cluster and node pools from seed config with dry-run webhooks:
failed to apply validating webhook to OnPremUserCluster:
masterNode.replcias: Forbidden: the field must not be mutated, diff (-before, +after): int64(- 1,+ 3)

Solução alternativa:

Use o comando gkectl upgrade para atualizar o cluster de utilizadores não de HA para um cluster avançado de HA.

Os pods do Windows permanecem pendentes após a migração do ControlPlaneV2 devido a um certificado TLS inválido

Durante uma operação de atualização do Google Distributed Cloud que inclua uma migração do ControlPlaneV2 da versão 1.30.x para a 1.31.x, os pods do Windows podem não ser agendados e permanecer num estado Pending. Este problema manifesta-se como um erro de validação do certificado TLS para o webhook de admissão de mutação windows-webhook. O problema ocorre porque o nome alternativo de entidade (SAN) do certificado retém incorretamente um valor válido para a arquitetura Kubeception antiga, em vez de ser regenerado para o novo ponto final kube-system.svc.

Pode observar a seguinte mensagem de erro: failed calling webhook "windows.webhooks.gke.io": failed to call webhook: Post "https://windows-webhook.kube-system.svc:443/pod?timeout=10s": tls: failed to verify certificate: x509. Esta situação pode surgir do processo de migração do ControlPlaneV2 que copia o conteúdo do etcd, o que transfere o certificado antigo sem a regeneração adequada. É importante ter em atenção que os pools de nós do Windows são uma funcionalidade descontinuada e vão ficar indisponíveis no Google Distributed Cloud 1.33 e versões posteriores.

Solução alternativa:

1. Faça uma cópia de segurança do segredo user-component-options no espaço de nomes do cluster do utilizador:

       kubectl get secret user-component-options -n USER_CLUSTER_NAME -oyaml > backup.yaml
       

2. Elimine o segredo user-component-options:

       kubectl delete secret user-component-options -n USER_CLUSTER_NAME
       

3. Edite o recurso onpremusercluster para acionar a conciliação adicionando a anotação onprem.cluster.gke.io/reconcile: "true":

       kubectl edit onpremusercluster USER_CLUSTER_NAME -n USER_CLUSTER_MGMT_NAMESPACE
       

Substitua USER_CLUSTER_NAME pelo nome do seu cluster de utilizadores.

A atualização para um cluster avançado falha se o stackdriver não estiver configurado

Quando atualiza um cluster não avançado para um cluster avançado, o processo pode deixar de responder se o stackdriver não estiver ativado.

Solução alternativa:

• Se o cluster ainda não tiver sido atualizado, tem de seguir os passos para ativar stackdriver:
  1. Adicione a secção stackdriver ao ficheiro de configuração do cluster.
  2. Execute gkectl update para ativar a autorização stackdriver.
• Se já estiver a decorrer uma atualização, siga estes passos:
  1. Edite o user-cluster-credssegredo no espaço de nomes USER_CLUSTER_NAME-gke-onprem-mgmt com o seguinte comando:

     kubectl --kubeconfig ADMIN_KUBECONFIG \
       patch secret user-cluster-creds \
       -n USER_CLUSTER_NAME-gke-onprem-mgmt \
       --type merge -p "{\"data\":{\"stackdriver-service-account-key\":\"$(cat STACKDRIVER_SERVICE_ACCOUNT_KEY_FILE | base64 | tr -d '\n')\"}}"

  2. Se atualizar o recurso personalizado OnPremUserCluster com o campo stackdriver, deve usar o mesmo projeto com a mesma localização do projeto e chave da conta de serviço que o cloudauditlogging se tiver ativado a funcionalidade.

     kubectl --kubeconfig ADMIN_KUBECONFIG \
         patch onpremusercluster USER_CLUSTER_NAME \
         -n USER_CLUSTER_NAME-gke-onprem-mgmt --type merge -p '
         spec:
           stackdriver:
             clusterLocation: PROJECT_LOCATION
             providerID: PROJECT_ID
             serviceAccountKey:
               kubernetesSecret:
                 keyName: stackdriver-service-account-key
                 name: user-cluster-creds
     '

  3. Adicione a secção stackdriver ao ficheiro de configuração do cluster para garantir a consistência.

Os pods não conseguem estabelecer ligação ao servidor da API Kubernetes com o plano de dados V2 e políticas de rede restritivas

Em clusters que usam a arquitetura do plano de controlo V2 (CPv2) (predefinição na versão 1.29 e posteriores) e o plano de dados V2, os pods podem não conseguir estabelecer ligação ao servidor da API Kubernetes (kubernetes.default.svc.cluster.local). Este problema é frequentemente acionado pela presença de políticas de rede, especialmente as que têm regras de saída de recusa predefinidas. Os sintomas incluem o seguinte:

• As tentativas de ligação TCP ao endereço IP do cluster ou aos endereços IP do nó do servidor da API resultam numa mensagem Connection reset by peer.
• Falhas de handshake TLS ao estabelecer ligação ao servidor da API.
• A execução do comando cilium monitor -t drop no nó afetado pode mostrar pacotes destinados aos endereços IP do nó do plano de controlo e à porta do servidor da API (normalmente, 6443) a serem ignorados.

Causa

Este problema surge de uma interação entre o Dataplane V2 (com base no Cilium) e as políticas de rede do Kubernetes na arquitetura CPv2, em que os componentes do plano de controlo são executados em nós no cluster de utilizador. A configuração predefinida do Cilium não interpreta corretamente as regras ipBlock nas políticas de rede destinadas a permitir o tráfego para os IPs dos nós dos membros do plano de controlo. Este problema está relacionado com um problema do Cilium a montante (cilium#20550).

Solução alternativa:

Para as versões 1.29, 1.30 e 1.31, evite usar políticas de rede de saída restritivas que possam bloquear o tráfego para os nós do plano de controlo. Se precisar de uma política de recusa predefinida, pode ter de adicionar uma regra de permissão abrangente para todo o tráfego de saída, por exemplo, não especificando regras na secção de saída, o que permite efetivamente toda a saída. Esta solução é menos segura e pode não ser adequada para todos os ambientes.

Para todas as outras versões, ative uma configuração do Cilium para fazer corresponder corretamente os IPs dos nós nos campos ipBlock da política de rede. Para fazer corresponder os IPs dos nós nos campos ipBlock da política de rede, faça o seguinte:

1. Edite o cilium-config ConfigMap:

   kubectl edit configmap -n kube-system cilium-config

2. Adicione ou modifique a secção de dados para incluir policy-cidr-match-mode: nodes:

   data:
         policy-cidr-match-mode: nodes

3. Para aplicar a alteração de configuração, reinicie o DaemonSet anetd:

   kubectl rollout restart ds anetd -n kube-system

4. Certifique-se de que tem uma política de rede que permite explicitamente o tráfego de saída dos seus pods para os IPs dos nós do plano de controlo na porta do servidor da API. Identifique os endereços IP dos nós do plano de controlo do cluster de utilizadores executando kubectl get svc kubernetes. O resultado é semelhante ao seguinte:

       apiVersion: networking.k8s.io/v1
       kind: NetworkPolicy
       metadata:
         name: allow-egress-to-kube-apiserver
         namespace: NAMESPACE_NAME
       spec:
         podSelector: {} 
         policyTypes:
         - Egress
         egress:
         - to:
           - ipBlock:
               cidr: CP_NODE_IP_1/32
           - ipBlock:
               cidr: CP_NODE_IP_2/32
           ports:
           - protocol: TCP
             port: 6443 # Kubernetes API Server port on the node
   
       

O agente gke-connectPod está bloqueado no estado Pending durante a criação do cluster de utilizadores

Durante a criação do cluster de utilizadores, o pod do agente gke-connect pode ficar bloqueado num estado Pending, o que impede a criação completa do cluster. Este problema ocorre porque o agente Pod gke-connect tenta agendar antes de os nós de trabalho estarem disponíveis, o que leva a um impasse.

Este problema surge quando a criação inicial do cluster de utilizadores falha devido a erros de validação de pré-lançamento, e é feita uma tentativa subsequente de criar o cluster sem eliminar primeiro os recursos criados parcialmente. Na tentativa de criação do cluster subsequente, o pod do agente gke-connect fica bloqueado devido a taints não tolerados nos nós do plano de controlo, conforme indicado por um erro semelhante ao seguinte:

    0/3 nodes are available: 3 node(s) had untolerated taint {node-role.kubernetes.io/control-plane: }`.
    

Solução alternativa:

Se a criação do cluster de utilizadores falhar devido a erros de validação prévia, elimine os recursos do cluster criados parcialmente antes de tentar criar o cluster novamente com as configurações corrigidas. Isto garante que o fluxo de trabalho de criação prossegue corretamente, incluindo a criação de pools de nós, antes de o pod do agente gke-connect ser implementado.

Os segredos permanecem encriptados após desativar a encriptação de segredos sempre ativa

Depois de desativar a encriptação de segredos sempre ativada com o gkectl update cluster, os segredos continuam a ser armazenados no etcd com encriptação. Este problema aplica-se apenas a clusters de utilizadores do kubeception. Se o seu cluster usar o Controlplane V2, não é afetado por este problema.

Para verificar se os segredos continuam encriptados, execute o seguinte comando, que obtém o segredo default/private-registry-creds armazenado em etcd:

kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
    exec -it -n USER_CLUSTER_NAME kube-etcd-0 -c kube-etcd -- \
    /bin/sh -ec "export ETCDCTL_API=3; etcdctl \
    --endpoints=https://127.0.0.1:2379 \
    --cacert=/etcd.local.config/certificates/etcdCA.crt \
    --cert=/etcd.local.config/certificates/etcd.crt \
    --key=/etcd.local.config/certificates/etcd.key \
    get /registry/secrets/default/private-registry-creds" | hexdump -C

Se o segredo for armazenado com encriptação, o resultado tem o seguinte aspeto:

00000000  2f 72 65 67 69 73 74 72  79 2f 73 65 63 72 65 74  |/registry/secret|
00000010  73 2f 64 65 66 61 75 6c  74 2f 70 72 69 76 61 74  |s/default/privat|
00000020  65 2d 72 65 67 69 73 74  72 79 2d 63 72 65 64 73  |e-registry-creds|
00000030  0d 0a 6b 38 73 3a 65 6e  63 3a 6b 6d 73 3a 76 31  |..k8s:enc:kms:v1|
00000040  3a 67 65 6e 65 72 61 74  65 64 2d 6b 65 79 2d 6b  |:generated-key-k|
00000050  6d 73 2d 70 6c 75 67 69  6e 2d 31 3a 00 89 65 79  |ms-plugin-1:..ey|
00000060  4a 68 62 47 63 69 4f 69  4a 6b 61 58 49 69 4c 43  |JhbGciOiJkaXIiLC|
...

Se a chave secreta não estiver armazenada com encriptação, o resultado é semelhante ao seguinte:

00000000  2f 72 65 67 69 73 74 72  79 2f 73 65 63 72 65 74  |/registry/secret|
00000010  73 2f 64 65 66 61 75 6c  74 2f 70 72 69 76 61 74  |s/default/privat|
00000020  65 2d 72 65 67 69 73 74  72 79 2d 63 72 65 64 73  |e-registry-creds|
00000030  0d 0a 6b 38 73 00 0d 0a  0c 0d 0a 02 76 31 12 06  |..k8s.......v1..|
00000040  53 65 63 72 65 74 12 83  47 0d 0a b0 2d 0d 0a 16  |Secret..G...-...|
00000050  70 72 69 76 61 74 65 2d  72 65 67 69 73 74 72 79  |private-registry|
00000060  2d 63 72 65 64 73 12 00  1a 07 64 65 66 61 75 6c  |-creds....defaul|
...

Solução alternativa:

1. Faça uma atualização contínua num DaemonSet específico da seguinte forma:

       kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
         rollout restart statefulsets kube-apiserver \
         -n USER_CLUSTER_NAME
       

2. Obtenha os manifestos de todos os segredos no cluster do utilizador, no formato YAML:

       kubectl --kubeconfig USER_CLUSTER_KUBECONFIG \
         get secrets -A -o yaml > SECRETS_MANIFEST.yaml
       

3. Volte a aplicar todos os segredos no cluster de utilizadores para que todos os segredos sejam armazenados em etcd como texto simples:

       kubectl --kubeconfig USER_CLUSTER_KUBECONFIG \
         apply -f SECRETS_MANIFEST.yaml
       

O ficheiro user-cluster.yaml gerado não tem o campo hostgroups

O ficheiro de configuração do cluster de utilizadores, user-cluster.yaml, gerado pelo comando gkectl get-config, não tem o campo hostgroups na secção nodePools. O comando gkectl get-config gera o ficheiro user-cluster.yaml com base no conteúdo do recurso personalizado OnPremUserCluster. No entanto, o campo nodePools[i].vsphere.hostgroups existe no recurso personalizado OnPremNodePool e não é copiado para o ficheiro user-cluster.yaml quando executa gkectl get-config.

Solução alternativa

Para resolver este problema, adicione manualmente o campo nodePools[i].vsphere.hostgroups ao ficheiro user-cluster.yaml. O ficheiro editado deve ter um aspeto semelhante ao seguinte exemplo:

apiVersion: v1
kind: UserCluster
...
nodePools:
- name: "worker-pool-1"
  enableLoadBalancer: true
  replicas: 3
  vsphere:
    hostgroups:
    - "hostgroup-1"
...

Pode usar o ficheiro de configuração do cluster de utilizadores editado para atualizar o cluster de utilizadores sem acionar erros e o campo hostgroups é mantido.

O carregamento agrupado não é compatível com recursos gateway.networking.k8s.io

Os pods do Istiod do acesso de entrada integrado não podem ficar prontos se os recursos gateway.networking.k8s.io estiverem instalados no cluster de utilizador. Pode encontrar a seguinte mensagem de erro de exemplo nos registos de pods:

    failed to list *v1beta1.Gateway: gateways.gateway.networking.k8s.io is forbidden: User \"system:serviceaccount:gke-system:istiod-service-account\" cannot list resource \"gateways\" in API group \"gateway.networking.k8s.io\" at the cluster scope"
    

Solução alternativa:

Aplique o ClusterRole e o ClusterRoleBinding seguintes ao cluster de utilizadores:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: istiod-gateway
rules:
- apiGroups:
  - 'gateway.networking.k8s.io'
  resources:
  - '*'
  verbs:
  - get
  - list
  - watch
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: istiod-gateway-binding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: istiod-gateway
subjects:
- kind: ServiceAccount
  name: istiod-service-account
  namespace: gke-system
    

Os nós do plano de controlo do cluster de administrador continuam a ser reiniciados após a execução de gkectl create admin

Se os nomes de anfitriões no campo ipblocks contiverem letras maiúsculas, os nós do plano de controlo do cluster de administrador podem ser reiniciados repetidamente.

Solução alternativa:

Use apenas nomes de anfitriões em minúsculas.

Runtime: out of memory "erro" após a execução de gkeadm create ou upgrade

Quando cria ou atualiza estações de trabalho de administrador com comandos gkeadm, , pode receber um erro de falta de memória ao validar a imagem do SO transferida.

Por exemplo,

Downloading OS image
"gs://gke-on-prem-release/admin-appliance/1.30.400-gke.133/gke-on-prem-admin-appliance-vsphere-1.30.400-gke.133.ova"...

[==================================================>] 10.7GB/10.7GB

Image saved to
/anthos/gke-on-prem-admin-appliance-vsphere-1.30.400-gke.133.ova

Verifying image gke-on-prem-admin-appliance-vsphere-1.30.400-gke.133.ova...
|

runtime: out of memory

Solução alternativa:

A atualização do cluster de administrador não de HA está bloqueada em Creating or updating cluster control plane workloads

Quando atualiza um cluster de administrador não de HA, a atualização pode ficar bloqueada em Creating or updating cluster control plane workloads.

Este problema ocorre se, na VM principal do administrador, ip a | grep cali devolver um resultado não vazio.

Por exemplo,

ubuntu@abf8a975479b-qual-342-0afd1d9c ~ $ ip a | grep cali
4: cali2251589245f@if3:  mtu 1500 qdisc noqueue state UP group default

Solução alternativa:

1. Repare o administrador principal:

   gkectl repair admin-master --kubeconfig=ADMIN_KUBECONFIG \
       --config=ADMIN_CONFIG_FILE \
       --skip-validation
   

2. Selecione o modelo de VM 1.30 se vir um comando como o do exemplo seguinte:

   Please select the control plane VM template to be used for re-creating the
   admin cluster's control plane VM.
   

3. Retome a atualização:

   gkectl upgrade admin --kubeconfig ADMIN_KUBECONFIG \
       --config ADMIN_CONFIG_FILE
   

Campo isControlPlane redundante no ficheiro de configuração do cluster em network.controlPlaneIPBlock

Os ficheiros de configuração do cluster gerados pelo gkectl create-config na versão 1.31.0 contêm um campo isControlPlane redundante em network.controlPlaneIPBlock:

    controlPlaneIPBlock:
    netmask: ""
    gateway: ""
    ips:
    - ip: ""
      hostname: ""
      isControlPlane: false
    - ip: ""
      hostname: ""
      isControlPlane: false
    - ip: ""
      hostname: ""
      isControlPlane: false
    

Este campo não é necessário e pode ser removido em segurança do ficheiro de configuração.

Os nós de suplementos de administrador ficam bloqueados no estado NotReady durante a migração de um cluster de administrador de não HA para HA

Quando migra um cluster de administrador não de HA que usa o MetalLB para HA, os nós do suplemento de administrador podem ficar bloqueados num estado NotReady, o que impede a conclusão da migração.

Este problema afeta apenas clusters de administrador configurados com o MetalLB, em que a reparação automática não está ativada.

Este problema é causado por uma condição de concorrência durante a migração em que os altifalantes do MetalLB ainda estão a usar o segredo metallb-memberlist antigo. Como resultado da condição de concorrência, o VIP do plano de controlo antigo torna-se inacessível, o que faz com que a migração fique bloqueada.

Solução alternativa:

1. Elimine o segredo metallb-memberlist existente:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n kube-system \
       delete secret metallb-memberlist
   

2. Reinicie a metallb-controllerimplementação para que possa gerar o novo metallb-memberlist:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n kube-system \
       rollout restart deployment metallb-controller
   

3. Certifique-se de que o novo metallb-memberlist é gerado:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n kube-system \
       get secret metallb-memberlist
   

4. Atualize updateStrategy.rollingUpdate.maxUnavailable no DaemonSet metallb-speaker de 1 para 100%.

   Este passo é obrigatório, porque determinados pods DaemonSet estão a ser executados nos nós NotReady.

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n kube-system \
       edit daemonset metallb-speaker
   

5. Reinicie o metallb-speaker DaemonSet para que possa recolher a nova lista de membros:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n kube-system \
       rollout restart daemonset metallb-speaker
   

   Após alguns minutos, os nós do suplemento de administração voltam a ficar Ready e a migração pode continuar.

6. Se o comando gkectl inicial excedeu o tempo limite após mais de 3 horas, volte a executar gkectl update para retomar a migração com falha.

A cópia de segurança do cluster para o cluster de administrador não de HA falha devido a nomes longos de datastore e datadisk

Quando tenta fazer uma cópia de segurança de um cluster de administrador não de HA, a cópia de segurança falha devido ao comprimento combinado dos nomes do arquivo de dados e do disco de dados exceder o comprimento máximo de carateres.

O comprimento máximo de carateres para um nome de arquivo de dados é 80.
O caminho de cópia de segurança para um cluster de administrador não HA tem a sintaxe de nomenclatura "__". Assim, se o nome concatenado exceder o comprimento máximo, a criação da pasta de cópia de segurança falha

Solução alternativa:

Mude o nome do arquivo de dados ou do disco de dados para um nome mais curto.
Certifique-se de que o comprimento combinado dos nomes do arquivo de dados e do disco de dados não excede o comprimento máximo de carateres.

O nó do plano de controlo do administrador de HA mostra uma versão mais antiga após a execução de gkectl repair admin-master

Depois de executar o comando gkectl repair admin-master, um nó do plano de controlo do administrador pode apresentar uma versão mais antiga do que a versão esperada.

Este problema ocorre porque o modelo de VM de cópia de segurança usado para a reparação do nó do plano de controlo do administrador de HA não é atualizado no vCenter após uma atualização, porque o modelo de VM de cópia de segurança não foi clonado durante a criação da máquina se o nome da máquina permanecer inalterado.

Solução alternativa:

1. Descubra o nome do computador que está a usar a versão mais antiga do Kubernetes:

       kubectl get machine -o wide --kubeconfig=ADMIN_KUBECONFIG
       

2. Remova a anotação onprem.cluster.gke.io/prevented-deletion:

       kubectl edit machine MACHINE_NAME --kubeconfig=ADMIN_KUBECONFIG
       

   Guarde a edição.

3. Execute o seguinte comando para eliminar a máquina:

       kubectl delete machine MACHINE_NAME --kubeconfig=ADMIN_KUBECONFIG
       

   É criada uma nova máquina com a versão correta.

O Terraform remove campos vCenter inesperadamente

Quando atualiza um cluster de utilizadores ou um conjunto de nós através do Terraform, o Terraform pode tentar definir campos vCenter com valores vazios.

Este problema pode ocorrer se o cluster não tiver sido originalmente criado com o Terraform.

Solução alternativa:

Para evitar a atualização inesperada, certifique-se de que a atualização é segura antes de executar terraform apply, conforme descrito no seguinte:

1. Execução terraform plan
2. Na saída, verifique se os campos vCenter estão definidos como nil.
3. Se algum campo vCenter estiver definido como um valor vazio, na configuração do Terraform, adicione vcenter à lista ignore_changes após a documentação do Terraform. Isto impede as atualizações destes campos.
4. Execute terraform plan novamente e verifique a saída para confirmar se a atualização está como esperado

Os nós do plano de controlo do cluster de utilizadores são sempre reiniciados durante a primeira operação de atualização do cluster de administrador

Depois de os nós do plano de controlo dos clusters de utilizadores do kubeception serem criados, atualizados ou alvo de uma atualização, são reiniciados um a um, durante a primeira operação do cluster de administrador quando o cluster de administrador é criado ou atualizado para uma das versões afetadas. Para clusters kubeception com 3 nós do plano de controlo, isto não deve originar tempo de inatividade do plano de controlo, e o único impacto é que a operação do cluster de administrador demora mais tempo.

Erros ao criar recursos personalizados

Na versão 1.31 do Google Distributed Cloud, pode receber erros quando tenta criar recursos personalizados, como clusters (todos os tipos) e cargas de trabalho. O problema é causado por uma alteração interruptiva introduzida no Kubernetes 1.31 que impede que o campo caBundle numa definição de recurso personalizado passe de um estado válido para um estado inválido. Para mais informações sobre a alteração, consulte o registo de alterações do Kubernetes 1.31.

Antes do Kubernetes 1.31, o campo caBundle era frequentemente definido para um valor improvisado de \n, porque nas versões anteriores do Kubernetes, o servidor da API não permitia conteúdo vazio do pacote de AC. A utilização de \n foi uma solução alternativa razoável para evitar confusões, uma vez que o cert-manager atualiza normalmente o caBundle mais tarde.

Se o caBundle tiver sido corrigido uma vez de um estado inválido para um estado válido, não devem existir problemas. No entanto, se a definição do recurso personalizado for reconciliada de volta para \n (ou outro valor inválido), pode encontrar o seguinte erro:

...Invalid value: []byte{0x5c, 0x6e}: unable to load root certificates: unable to parse bytes as PEM block]

Solução alternativa

Se tiver uma definição de recurso personalizada em que caBundle está definido como um valor inválido, pode remover o campo caBundle em segurança. Isto deve resolver o problema.

cloud-init status devolve sempre um erro

Quando atualiza um cluster que usa a imagem do SO do SO otimizado para contentores (COS) para a versão 1.31, o comando cloud-init status falha, embora o cloud-init tenha terminado sem erros.

Solução alternativa:

Execute o seguinte comando para verificar o estado do cloud-init:

    systemctl show -p Result cloud-final.service
    

Se o resultado for semelhante ao seguinte, significa que o cloud-init foi concluído com êxito:

    Result=success
    

A verificação prévia da estação de trabalho de administração falha ao atualizar para a versão 1.28 com um tamanho do disco inferior a 100 GB

Quando atualiza um cluster para a versão 1.28, o comando gkectl prepare falha durante a execução das verificações prévias da estação de trabalho de administração se o tamanho do disco da estação de trabalho de administração for inferior a 100 GB. Neste caso, o comando apresenta uma mensagem de erro semelhante à seguinte:

    Workstation Hardware: Workstation hardware requirements are not satisfied
    

Na versão 1.28, o pré-requisito do tamanho do disco da estação de trabalho do administrador foi aumentado de 50 GB para 100 GB.

Solução alternativa:

1. Reverter a estação de trabalho do administrador.
2. Atualize o ficheiro de configuração da estação de trabalho de administração para aumentar o espaço em disco para, pelo menos, 100 GB.
3. Atualize a estação de trabalho de administrador.

gkectl devolve um erro falso na classe de armazenamento NetApp

O comando gkectl upgrade devolve um erro incorreto acerca da classe de armazenamento netapp. A mensagem de erro é semelhante à seguinte:

    detected unsupported drivers:
      csi.trident.netapp.io
    

Solução alternativa:

Execute gkectl upgrade com a flag `--skip-pre-upgrade-checks`.

O certificado da AC é inválido após a rotação da AC do cluster em ClientConfig impede a autenticação do cluster

Depois de rodar os certificados da autoridade de certificação (AC) num cluster de utilizadores, o campo spec.certificateAuthorityData no ClientConfig contém um certificado da AC inválido, o que impede a autenticação no cluster.

Solução alternativa:

Antes da próxima autenticação da CLI gcloud, atualize manualmente o campo spec.certificateAuthorityData no ficheiro ClientConfig com o certificado da AC correto.

1. Copie o certificado da AC do cluster do campo certificate-authority-data no kubeconfig do cluster de administrador.
2. Edite o ClientConfig e cole o certificado da AC no campo spec.certificateAuthorityData.

       kubectl edit clientconfig default -n kube-public --kubeconfig USER_CLUSTER_KUBECONFIG
       

A verificação prévia à implementação falha ao desativar a entrada integrada

Quando desativa a entrada agrupada removendo o campo loadBalancer.vips.ingressVIP no ficheiro de configuração do cluster, um erro na verificação prévia do MetalLB faz com que a atualização do cluster falhe com a mensagem de erro "invalid user ingress vip: invalid IP" (VIP de entrada do utilizador inválido: IP inválido).

Solução alternativa:

Ignorar a mensagem de erro.
Ignore a verificação prévia através de um dos seguintes métodos:

• Adicione a flag --skip-validation-load-balancer ao comando gkectl update cluster.
• Anotar o objeto onpremusercluster com onprem.cluster.gke.io/server-side-preflight-skip: skip-validation-load-balancer
.

A atualização do cluster falha devido à falta de uma regra de grupo antiafinidade no vCenter

Durante uma atualização do cluster, os objetos de máquina podem ficar bloqueados na fase "Creating" (Criação) e não conseguem estabelecer ligação aos objetos de nó devido a uma regra de grupo antiafinidade (AAG) em falta no vCenter.

Se descrever os objetos de máquina problemáticos, pode ver mensagens recorrentes como "Reconfigure DRS rule task "task-xxxx" complete" (Reconfigure DRS rule task "task-xxxx" complete)

    kubectl --kubeconfig KUBECONFIG describe machine MACHINE_OBJECT_NAME
    

Solução alternativa:

Desative a definição do grupo de anti-afinidade na configuração do cluster de administrador e na configuração do cluster de utilizador e acione o comando de atualização forçada para desbloquear a atualização do cluster:

    gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig ADMIN_CLUSTER_KUBECONFIG --force
    

    gkectl update cluster --config USER_CLUSTER_CONFIG_FILE --kubeconfig USER_CLUSTER_KUBECONFIG --force
    

A migração de um cluster de utilizadores para o plano de controlo V2 falha se a encriptação de segredos tiver sido ativada

Quando migra um cluster de utilizadores para o plano de controlo V2, se a encriptação de segredos sempre ativa tiver sido ativada, o processo de migração não processa corretamente a chave de encriptação de segredos. Devido a este problema, o novo cluster do plano de controlo V2 não consegue descifrar segredos. Se o resultado do seguinte comando não estiver vazio, a encriptação de segredos sempre ativada foi ativada em algum momento e o cluster é afetado por este problema:

    kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
      get onpremusercluster USER_CLUSTER_NAME \
      -n USER_CLUSTER_NAME-gke-onprem-mgmt \
      -o jsonpath={.spec.secretsEncryption}
    

Se já tiver iniciado a migração e esta falhar, contacte a Google para receber apoio técnico. Caso contrário, antes da migração, desative a encriptação de segredos sempre ativa e desencripte os segredos.

A migração de um cluster de administrador de não HA para HA falha se a encriptação de segredos estiver ativada

Se o cluster de administrador tiver ativado a encriptação de segredos sempre ativa na versão 1.14 ou anterior e tiver sido atualizado das versões antigas para as versões 1.29 e 1.30 afetadas, quando migrar o cluster de administrador de não HA para HA, o processo de migração não processa corretamente a chave de encriptação de segredos. Devido a este problema, o novo cluster de administrador de HA não consegue desencriptar segredos.

Para verificar se o cluster pode estar a usar a chave formatada antiga:

    kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG get secret -n kube-system admin-master-component-options -o jsonpath='{.data.data}' | base64 -d | grep -oP '"GeneratedKeys":\[.*?\]'
    

Se o resultado mostrar a chave vazia da seguinte forma, significa que o cluster será afetado por este problema:

    "GeneratedKeys":[{"KeyVersion":"1","Key":""}]
    

Se já tiver iniciado a migração e esta falhar, contacte a Google para receber apoio técnico.

Caso contrário, antes de iniciar a migração, rode a chave de encriptação.

credential.yaml regenerado incorretamente durante a atualização da estação de trabalho do administrador

Quando atualiza a estação de trabalho do administrador com o comando gkeadm upgrade admin-workstation, o ficheiro credential.yaml é regenerado incorretamente. Os campos de nome de utilizador e palavra-passe estão vazios. Além disso, a chave privateRegistry contém um erro ortográfico.

A mesma gralha na tecla privateRegistry também está no ficheiro admin-cluster.yaml.
Uma vez que o ficheiro credential.yaml é regenerado durante o processo de atualização do cluster de administração, o erro ortográfico está presente mesmo que o tenha corrigido anteriormente.

Solução alternativa:

• Atualize o nome da chave de registo privada em credential.yaml para corresponder ao privateRegistry.credentials.fileRef.entry no admin-cluster.yaml.
• Atualize o nome de utilizador e a palavra-passe do registo privado no ficheiro credential.yaml.

A atualização do cluster de utilizadores falha devido ao limite de tempo de reconciliação pré-atualização

Quando atualiza um cluster de utilizadores, a operação de reconciliação pré-atualização pode demorar mais tempo do que o limite de tempo definido, o que resulta numa falha na atualização. A mensagem de erro tem o seguinte aspeto:

Failed to reconcile the user cluster before upgrade: the pre-upgrade reconcile failed, error message:
failed to wait for reconcile to complete: error: timed out waiting for the condition,
message: Cluster reconcile hasn't finished yet, please fix that before
rerun the upgrade.

O limite de tempo para a operação de conciliação pré-atualização é de 5 minutos mais 1 minuto por conjunto de nós no cluster de utilizador.

Solução alternativa:

Certifique-se de que o comando gkectl diagnose cluster é aprovado sem erros.
Ignore a operação de conciliação pré-atualização adicionando a flag --skip-reconcile-before-preflight ao comando gkectl upgrade cluster. Por exemplo:

gkectl upgrade cluster --skip-reconcile-before-preflight --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
--config USER_CLUSTER_CONFIG_FILE

A atualização do ForwardMode do DataplaneV2 não aciona automaticamente um reinício do DaemonSet anetd

Quando atualiza o campo dataplaneV2.forwardMode do cluster de utilizadores através do gkectl update cluster, a alteração só é atualizada no ConfigMap. O DaemonSet anetd não deteta a alteração de configuração até ser reiniciado, e as suas alterações não são aplicadas.

Solução alternativa:

Quando o comando gkectl update cluster estiver concluído, é apresentada a saída Done updating the user cluster. Depois de ver a mensagem, execute o seguinte comando para reiniciar o anetdDaemonSet para aplicar a alteração de configuração:

kubectl --kubeconfig USER_CLUSTER_KUBECONFIG rollout restart daemonset anetd

Verifique a prontidão do DaemonSet após o reinício:

kubectl --kubeconfig USER_CLUSTER_KUBECONFIG get daemonset anetd

No resultado do comando anterior, verifique se o número na coluna DESIRED corresponde ao número na coluna READY.

Comando etcdctl não encontrado durante a atualização do cluster na fase de cópia de segurança do cluster de administrador

Durante uma atualização do cluster de utilizadores de 1.16 para 1.28, é feita uma cópia de segurança do cluster de administrador. O processo de cópia de segurança do cluster de administrador apresenta a mensagem de erro "etcdctl: command not found". A atualização do cluster de utilizadores é bem-sucedida e o cluster de administrador permanece em bom estado. O único problema é que o ficheiro de metadados no cluster de administrador não tem uma cópia de segurança.

A causa do problema é que o ficheiro binário etcdctl foi adicionado na versão 1.28 e não está disponível em nós da versão 1.16.

A cópia de segurança do cluster de administrador envolve vários passos, incluindo a criação de uma imagem instantânea do etcd e, em seguida, a gravação do ficheiro de metadados para o cluster de administrador. A cópia de segurança do etcd continua a ser bem-sucedida porque ainda é possível acionar etcdctl após uma execução no pod do etcd. No entanto, a escrita do ficheiro de metadados falha, uma vez que continua a depender do binário etcdctl para ser instalado no nó. No entanto, a cópia de segurança do ficheiro de metadados não impede a criação de uma cópia de segurança, pelo que o processo de cópia de segurança continua a ser bem-sucedido, tal como a atualização do cluster de utilizadores.

Solução alternativa:

Se quiser fazer uma cópia de segurança do ficheiro de metadados, siga os passos descritos no artigo Fazer uma cópia de segurança e restaurar um cluster de administrador com o gkectl para acionar uma cópia de segurança do cluster de administrador separada com a versão do gkectl que corresponde à versão do seu cluster de administrador.

Falha na criação do cluster de utilizadores com o equilíbrio de carga manual

Quando cria um cluster de utilizadores configurado para o equilíbrio de carga manual, ocorre uma falha gkectl check-config a indicar que o valor ingressHTTPNodePort tem de ser, pelo menos, 30 000, mesmo quando a entrada agrupada está desativada.

Este problema ocorre independentemente de os campos ingressHTTPNodePort e ingressHTTPSNodePort estarem definidos ou em branco.

Solução alternativa:

Para contornar este problema, ignore o resultado devolvido por gkectl check-config. Para desativar a entrada agrupada, consulte o artigo Desative a entrada agrupada.

Após migrar um cluster de utilizadores para o Controlplane V2, o PDB do metrics-server do cluster de administrador pode ficar configurado incorretamente

O problema com o PodDisruptionBudget (PDB) ocorre quando usa clusters de administrador de alta disponibilidade (HA) e existem 0 ou 1 nó do cluster de administrador sem uma função após a migração. Para verificar se existem objetos node sem uma função, execute o seguinte comando:

kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG get nodes -o wide

Se existirem dois ou mais objetos de nós sem uma função após a migração, o PDB não está configurado incorretamente.

Sintomas:

O resultado de admin cluster diagnose inclui as seguintes informações

Checking all poddisruptionbudgets...FAILURE
  Reason: 1 pod disruption budget error(s).
  Unhealthy Resources:
  PodDisruptionBudget metrics-server: gke-managed-metrics-server/metrics-server might be configured incorrectly: the total replicas(1) should be larger than spec.MinAvailable(1).

Solução alternativa:

Execute o seguinte comando para eliminar a PDB:

kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG delete pdb metrics-server -n gke-managed-metrics-server

O webhook de autorização binária bloqueia o início do plug-in CNI, o que faz com que um dos nodepools não seja iniciado

Em condições de concorrência raras, uma sequência de instalação incorreta do webhook de autorização binária e do pod gke-connect pode fazer com que a criação do cluster de utilizadores fique bloqueada devido a um nó que não consegue atingir um estado pronto. Nos cenários afetados, a criação de clusters de utilizadores pode ficar bloqueada devido a um nó que não consegue atingir um estado pronto. Se isto ocorrer, é apresentada a seguinte mensagem:

     Node pool is not ready: ready condition is not true: CreateOrUpdateNodePool: 2/3 replicas are ready
    

Solução alternativa:

1. Remova a configuração da Autorização binária do ficheiro de configuração. Para ver instruções de configuração, consulte o guia de instalação do dia 2 da Autorização binária para o GKE no VMware.
2. Para desbloquear um nó não saudável durante o processo de criação do cluster atual, remova temporariamente a configuração do webhook da autorização binária no cluster de utilizador através do seguinte comando.

           kubectl --kubeconfig USER_KUBECONFIG delete ValidatingWebhookConfiguration binauthz-validating-webhook-configuration
           

   Assim que o processo de arranque estiver concluído, pode voltar a adicionar a seguinte configuração de webhook.

   apiVersion: admissionregistration.k8s.io/v1
   kind: ValidatingWebhookConfiguration
   metadata:
     name: binauthz-validating-webhook-configuration
   webhooks:
   - name: "binaryauthorization.googleapis.com"
     namespaceSelector:
       matchExpressions:
       - key: control-plane
         operator: DoesNotExist
     objectSelector:
       matchExpressions:
       - key: "image-policy.k8s.io/break-glass"
         operator: NotIn
         values: ["true"]
     rules:
     - apiGroups:
       - ""
       apiVersions:
       - v1
       operations:
       - CREATE
       - UPDATE
       resources:
       - pods
       - pods/ephemeralcontainers
     admissionReviewVersions:
     - "v1beta1"
     clientConfig:
       service:
         name: binauthz
         namespace: binauthz-system
         path: /binauthz
       # CA Bundle will be updated by the cert rotator.
       caBundle: Cg==
     timeoutSeconds: 10
     # Fail Open
     failurePolicy: "Ignore"
     sideEffects: None
           

A atualização do cluster de utilizadores do CPV2 ficou bloqueada devido a uma máquina duplicada com deletionTimestamp

Durante uma atualização do cluster de utilizadores, a operação de atualização pode ficar bloqueada se o objeto de máquina espelhado no cluster de utilizadores contiver um deletionTimestamp. É apresentada a seguinte mensagem de erro se a atualização estiver bloqueada:

    machine is still in the process of being drained and subsequently removed
    

Este problema pode ocorrer se tiver tentado reparar anteriormente o nó do plano de controlo do utilizador executando gkectl delete machine na máquina espelhada no cluster de utilizadores.

Solução alternativa:

1. Obtenha o objeto da máquina espelhada e guarde-o num ficheiro local para fins de cópia de segurança.
2. Execute o seguinte comando para eliminar o finalizador da máquina duplicada e aguarde até que seja eliminado do cluster de utilizadores.

       kubectl --kubeconfig ADMIN_KUBECONFIG patch machine/MACHINE_OBJECT_NAME -n USER_CLUSTER_NAME-gke-onprem-mgmt -p '{"metadata":{"finalizers":[]}}' --type=merge

3. Siga os passos em Controlplane V2 user cluster control plane node para acionar a reparação de nós nos nós do plano de controlo, para que a especificação da máquina de origem correta seja ressincronizada no cluster de utilizadores.
4. Volte a executar o comando gkectl upgrade cluster para retomar a atualização

Falha na criação do cluster devido ao VIP do plano de controlo numa sub-rede diferente

Para o cluster de administrador de HA ou o cluster de utilizador do ControlPlane V2, o VIP do plano de controlo tem de estar na mesma sub-rede que os outros nós do cluster. Caso contrário, a criação do cluster falha porque o kubelet não consegue comunicar com o servidor da API através do VIP do plano de controlo.

Solução alternativa:

Antes da criação do cluster, certifique-se de que o VIP do plano de controlo está configurado na mesma sub-rede que os outros nós do cluster.

Falha na criação/atualização do cluster devido a um nome de utilizador do vCenter que não é um FQDN

A criação/atualização do cluster falha com um erro nos pods do CSI do vSphere a indicar que o nome de utilizador do vCenter é inválido. Isto ocorre porque o nome de utilizador usado não é um nome de domínio totalmente qualificado. Mensagem de erro no pod vsphere-csi-controller, conforme abaixo:

    GetCnsconfig failed with err: username is invalid, make sure it is a fully qualified domain username
    

Este problema só ocorre na versão 1.29 e posteriores, uma vez que foi adicionada uma validação ao controlador CSI do vSphere para aplicar a utilização de nomes de utilizador de domínio totalmente qualificados.

Solução alternativa:

Use um nome do domínio totalmente qualificado para o nome de utilizador do vCenter no ficheiro de configuração das credenciais. Por exemplo, em vez de usar "username1", use "username1@example.com".

A atualização do cluster de administrador falha para clusters criados nas versões 1.10 ou anteriores

Quando atualiza um cluster de administrador de 1.16 para 1.28, o arranque do novo computador principal de administrador pode não conseguir gerar o certificado do plano de controlo. O problema é causado por alterações na forma como os certificados são gerados para o servidor da API Kubernetes na versão 1.28 e posteriores. O problema reproduz-se para clusters criados nas versões 1.10 e anteriores que foram atualizados até à versão 1.16 e o certificado de folha não foi alterado antes da atualização.

Para determinar se a falha na atualização do cluster de administrador é causada por este problema, siga os passos abaixo:

1. Ligue-se à máquina principal de administrador com falhas através de SSH.
2. Abra /var/log/startup.log e pesquise um erro como o seguinte:

Error adding extensions from section apiserver_ext
801B3213B57F0000:error:1100007B:X509 V3 routines:v2i_AUTHORITY_KEYID:unable to get issuer keyid:../crypto/x509/v3_akid.c:177:
801B3213B57F0000:error:11000080:X509 V3 routines:X509V3_EXT_nconf_int:error in extension:../crypto/x509/v3_conf.c:48:section=apiserver_ext, name=authorityKeyIdentifier, value=keyid>
   

Solução alternativa:

1. Ligue-se à máquina principal de administração através de SSH. Para ver detalhes, consulte o artigo Usar SSH para estabelecer ligação a um nó do cluster de administrador.
2. Crie uma cópia /etc/startup/pki-yaml.sh e atribua-lhe o nome /etc/startup/pki-yaml-copy.sh
3. Edite o pacote /etc/startup/pki-yaml-copy.sh. Encontre authorityKeyIdentifier=keyidset e altere-o para authorityKeyIdentifier=keyid,issuer nas secções das seguintes extensões: apiserver_ext, client_ext, etcd_server_ext e kubelet_server_ext. Por exemplo:

         [ apiserver_ext ]
         keyUsage = critical, digitalSignature, keyEncipherment
         extendedKeyUsage=serverAuth
         basicConstraints = critical,CA:false
         authorityKeyIdentifier = keyid,issuer
         subjectAltName = @apiserver_alt_names
   

4. Guarde as alterações a /etc/startup/pki-yaml-copy.sh.
5. Com um editor de texto, abra o ficheiro /opt/bin/master.sh, localize e substitua todas as ocorrências de /etc/startup/pki-yaml.sh por /etc/startup/pki-yaml-copy.sh e, em seguida, guarde as alterações.
6. Execute /opt/bin/master.sh para gerar o certificado e concluir o arranque da máquina.
7. Execute o comando gkectl upgrade admin novamente para atualizar o cluster de administrador.
8. Após a conclusão da atualização, rode o certificado de folha para os clusters de administrador e de utilizador, conforme descrito em Inicie a rotação.
9. Após a conclusão da rotação dos certificados, faça as mesmas edições a /etc/startup/pki-yaml-copy.sh que fez anteriormente e execute /opt/bin/master.sh.

Mensagem de aviso incorreta para clusters com o Dataplane V2 ativado

A seguinte mensagem de aviso incorreta é emitida quando executa o comando gkectl para criar, atualizar ou fazer a atualização de um cluster que já tenha o Dataplane V2 ativado:

WARNING: Your user cluster is currently running our original architecture with
[DataPlaneV1(calico)]. To enable new and advanced features we strongly recommend
to update it to the newer architecture with [DataPlaneV2] once our migration
tool is available.

Existe um erro no gkectl que faz com que este aviso seja sempre apresentado enquanto o dataplaneV2.forwardMode não estiver a ser usado, mesmo que já tenha definido enableDataplaneV2: true no ficheiro de configuração do cluster.

Solução alternativa:

Pode ignorar este aviso com segurança.

A verificação prévia da instalação do cluster de administrador de HA comunica um número incorreto de IPs estáticos necessários

Quando cria um cluster de administrador de HA, a verificação prévia apresenta a seguinte mensagem de erro incorreta:

- Validation Category: Network Configuration
    - [FAILURE] CIDR, VIP and static IP (availability and overlapping): needed
    at least X+1 IP addresses for admin cluster with X nodes

O requisito está incorreto para clusters de administrador de HA 1.28 e superiores, porque já não têm nós suplementares. Além disso, uma vez que os IPs dos nós do plano de controlo do cluster de administração são especificados na secção network.controlPlaneIPBlock do ficheiro de configuração do cluster de administração, os IPs no ficheiro de bloco de IPs só são necessários para os nós do plano de controlo do cluster de utilizadores do kubeception.

Solução alternativa:

Para ignorar a verificação prévia incorreta numa versão não fixa, adicione --skip-validation-net-config ao comando gkectl.

O agente de ligação perde a ligação ao Google Cloud após a migração do cluster de administrador de não HA para HA

Se migrou de um cluster de administrador não de HA para um cluster de administrador de HA, o agente Connect no cluster de administrador perde a ligação a gkeconnect.googleapis.com com o erro "Falha ao validar a assinatura JWT". Isto deve-se ao facto de, durante a migração, a chave de assinatura da KSA ser alterada. Por isso, é necessário um novo registo para atualizar os JWKs da OIDC.

Solução alternativa:

Para voltar a associar o cluster de administrador ao Google Cloud, siga os passos abaixo para acionar um novo registo:

Primeiro, obtenha o gke-connectnome da implementação:

kubectl --kubeconfig KUBECONFIG get deployment -n gke-connect

Elimine a implementação gke-connect:

kubectl --kubeconfig KUBECONFIG delete deployment GKE_CONNECT_DEPLOYMENT -n gke-connect

Acione uma reconciliação forçada para o onprem-admin-cluster-controller adicionando uma anotação "force-reconcile" ao seu CR onpremadmincluster:

kubectl --kubeconfig KUBECONFIG patch onpremadmincluster ADMIN_CLUSTER_NAME -n kube-system --type merge -p '
metadata:
  annotations:
    onprem.cluster.gke.io/force-reconcile: "true"
'

A ideia é que o onprem-admin-cluster-controller vai sempre reimplementar a implementação gke-connect e voltar a registar o cluster se não encontrar nenhuma implementação gke-connect existente disponível.

Após a solução alternativa (o controlador pode demorar alguns minutos a concluir a reconciliação), pode verificar se o erro 400 "Failed to verify JWT signature" desapareceu dos registos do gke-connect-agent:

kubectl --kubeconfig KUBECONFIG logs GKE_CONNECT_POD_NAME -n gke-connect

O IP da ponte Docker usa 172.17.0.1/16 para nós do plano de controlo do cluster do COS

O Google Distributed Cloud especifica uma sub-rede dedicada, --bip=169.254.123.1/24, para o IP da ponte Docker na configuração do Docker para evitar a reserva da sub-rede 172.17.0.1/16 predefinida. No entanto, nas versões 1.28.0 a 1.28.500 e 1.29.0, o serviço Docker não foi reiniciado depois de o Google Distributed Cloud personalizar a configuração do Docker devido a uma regressão na imagem do SO COS. Como resultado, o Docker escolhe 172.17.0.1/16 como a sub-rede do endereço IP da ponte. Isto pode causar um conflito de endereços IP se já tiver uma carga de trabalho em execução nesse intervalo de endereços IP.

Solução alternativa:

Para contornar este problema, tem de reiniciar o serviço Docker:

sudo systemctl restart docker

Verifique se o Docker escolhe o endereço IP da ponte correto:

ip a | grep docker0

Esta solução não persiste nas recriações de VMs. Tem de voltar a aplicar esta solução alternativa sempre que as VMs forem recriadas.

A utilização de várias interfaces de rede com a CNI padrão não funciona

Os binários CNI padrão bridge, ipvlan, vlan, macvlan, dhcp, tuning, host-local, ptp, portmap não estão incluídos nas imagens do SO nas versões afetadas. Estes ficheiros binários de CNI não são usados pelo plano de dados v2, mas podem ser usados para interfaces de rede adicionais na funcionalidade de várias interfaces de rede.

A interface de rede múltipla com estes plug-ins CNI não funciona.

Solução alternativa:

Se estiver a usar esta funcionalidade, faça a atualização para a versão com a correção.

As dependências do Netapp trident interferem com o controlador CSI do vSphere

A instalação do multipathd nos nós do cluster interfere com o controlador CSI do vSphere, o que impede o início das cargas de trabalho do utilizador.

Solução alternativa:

• Desativar multipathd

O webhook do cluster de administrador pode bloquear atualizações

Se algumas configurações obrigatórias estiverem vazias no cluster de administrador porque as validações foram ignoradas, a respetiva adição pode ser bloqueada pelo webhook do cluster de administrador. Por exemplo, se o campo gkeConnect não tiver sido definido num cluster de administrador existente, adicioná-lo com o comando gkectl update admin pode gerar a seguinte mensagem de erro:

admission webhook "vonpremadmincluster.onprem.cluster.gke.io" denied the request: connect: Required value: GKE connect is required for user clusters

failed to apply OnPremAdminCluster 'kube-system/gke-admin-btncc': Internal error occurred: failed calling webhook "monpremadmincluster.onprem.cluster.gke.io": failed to call webhook: Post "https://onprem-admin-cluster-controller.kube-system.svc:443/mutate-onprem-cluster-gke-io-v1alpha1-onpremadmincluster?timeout=10s": dial tcp 10.96.55.208:443: connect: connection refused

Solução alternativa:

• Para clusters de administrador 1.15, execute o comando gkectl update admin com a flag --disable-admin-cluster-webhook. Por exemplo:

          gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig ADMIN_CLUSTER_KUBECONFIG --disable-admin-cluster-webhook
          

• Para clusters de administrador 1.16, execute comandos gkectl update admin com a flag --force. Por exemplo:

          gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig ADMIN_CLUSTER_KUBECONFIG --force
          

O campo controlPlaneNodePort tem como predefinição 30968 quando a especificação manualLB está vazia

Se for usar um equilibrador de carga manual (loadBalancer.kind está definido como "ManualLB"), não deve ter de configurar a secção loadBalancer.manualLB no ficheiro de configuração para um cluster de administrador de alta disponibilidade (HA) nas versões 1.16 e superiores. No entanto, quando esta secção está vazia, o Google Distributed Cloud atribui valores predefinidos a todas as portas de nós, incluindo manualLB.controlPlaneNodePort, o que faz com que a criação do cluster falhe com a seguinte mensagem de erro:

- Validation Category: Manual LB
  - [FAILURE] NodePort configuration: manualLB.controlPlaneNodePort must
   not be set when using HA admin cluster, got: 30968

Solução alternativa:

Especifique manualLB.controlPlaneNodePort: 0 na configuração do cluster de administrador para o cluster de administrador de HA:

loadBalancer:
  ...
  kind: ManualLB
  manualLB:
    controlPlaneNodePort: 0
  ...

nfs-common em falta na imagem do SO Ubuntu

O nfs-common está em falta na imagem do SO Ubuntu, o que pode causar problemas aos clientes que usam controladores dependentes do NFS, como o NetApp.

Warning FailedMount 63s (x8 over 2m28s) kubelet MountVolume.SetUp failed for volume "pvc-xxx-yyy-zzz" : rpc error: code = Internal desc = error mounting NFS volume 10.0.0.2:/trident_pvc_xxx-yyy-zzz on mountpoint /var/lib/kubelet/pods/aaa-bbb-ccc/volumes/kubernetes.io~csi/pvc-xxx-yyy-zzz/mount: exit status 32".
      

Solução alternativa:

Certifique-se de que os seus nós podem transferir pacotes da Canonical.

Em seguida, aplique o seguinte DaemonSet ao seu cluster para instalar o nfs-common:

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: install-nfs-common
  labels:
    name: install-nfs-common
  namespace: kube-system
spec:
  selector:
    matchLabels:
      name: install-nfs-common
  minReadySeconds: 0
  updateStrategy:
    type: RollingUpdate
    rollingUpdate:
      maxUnavailable: 100%
  template:
    metadata:
      labels:
        name: install-nfs-common
    spec:
      hostPID: true
      hostIPC: true
      hostNetwork: true
      initContainers:
      - name: install-nfs-common
        image: ubuntu
        imagePullPolicy: IfNotPresent
        securityContext:
          privileged: true
        command:
        - chroot
        - /host
        - bash
        - -c
        args:
        - |
          apt install -y nfs-common
        volumeMounts:
        - name: host
          mountPath: /host
      containers:
      - name: pause
        image: gcr.io/gke-on-prem-release/pause-amd64:3.1-gke.5
        imagePullPolicy: IfNotPresent
      volumes:
      - name: host
        hostPath:
          path: /
      

O campo da política de armazenamento está em falta no modelo de configuração do cluster de administrador

O SPBM em clusters de administrador é suportado na versão 1.28.0 e posteriores. No entanto, o campo vCenter.storagePolicyName está em falta no modelo do ficheiro de configuração.

Solução alternativa:

Adicione o campo `vCenter.storagePolicyName` no ficheiro de configuração do cluster de administrador se quiser configurar a política de armazenamento para o cluster de administrador. Consulte as instruções.

A API Kubernetes Metadata não suporta o VPC-SC

A API kubernetesmetadata.googleapis.com adicionada recentemente não suporta o VPC-SC. Isto fará com que o agente de recolha de metadados não consiga alcançar esta API no VPC-SC. Posteriormente, as etiquetas de metadados de métricas vão estar em falta.

Solução alternativa:

No espaço de nomes `kube-system`, defina o campo `featureGates.disableExperimentalMetadataAgent` do CR `stackdriver` como `true` executando o comando

`kubectl -n kube-system patch stackdriver stackdriver -p '{"spec":{"featureGates":{"disableExperimentalMetadataAgent":true}}}'`

e, em seguida, execute

`kubectl -n kube-system patch deployment stackdriver-operator -p '{"spec":{"template":{"spec":{"containers":[{"name":"stackdriver-operator","env":[{"name":"ENABLE_LEGACY_METADATA_AGENT","value":"true"}]}]}}}}'`

O clusterapi-controller pode falhar quando o cluster de administrador e qualquer cluster de utilizador com o ControlPlane V2 ativado usam credenciais do vSphere diferentes

Quando um cluster de administrador e qualquer cluster de utilizador com o ControlPlane V2 ativado usam credenciais do vSphere diferentes, por exemplo, após a atualização das credenciais do vSphere para o cluster de administrador, o clusterapi-controller pode não conseguir estabelecer ligação ao vCenter após o reinício. Veja o registo do clusterapi-controller em execução no espaço de nomes `kube-system` do cluster de administrador,

kubectl logs -f -l component=clusterapi-controllers -c vsphere-controller-manager \
    -n kube-system --kubeconfig KUBECONFIG

E1214 00:02:54.095668       1 machine_controller.go:165] Error checking existence of machine instance for machine object gke-admin-node-77f48c4f7f-s8wj2: Failed to check if machine gke-admin-node-77f48c4f7f-s8wj2 exists: failed to find datacenter "VSPHERE_DATACENTER": datacenter 'VSPHERE_DATACENTER' not found

Solução alternativa:

Atualize as credenciais do vSphere para que o cluster de administrador e todos os clusters de utilizador com o Controlplane V2 ativado estejam a usar as mesmas credenciais do vSphere.

Número elevado de pedidos GRPC com falhas no Prometheus Alert Manager

O Prometheus pode comunicar alertas semelhantes ao seguinte exemplo:

Alert Name: cluster:gke-admin-test1: Etcd cluster kube-system/kube-etcd: 100% of requests for Watch failed on etcd instance etcd-test-xx-n001.

Para verificar se este alerta é um falso positivo que pode ser ignorado, conclua os seguintes passos:

1. Verifique a métrica grpc_server_handled_total não processada em comparação com a métrica grpc_method indicada na mensagem de alerta. Neste exemplo, verifique a etiqueta grpc_code para Watch.
   
   Pode verificar esta métrica através do Cloud Monitoring com a seguinte consulta MQL:

   fetch
       k8s_container | metric 'kubernetes.io/anthos/grpc_server_handled_total' | align rate(1m) | every 1m

2. Pode ignorar com segurança um alerta em todos os códigos que não sejam OK se o código não for um dos seguintes:

   Unknown|FailedPrecondition|ResourceExhausted|Internal|Unavailable|DataLoss|DeadlineExceeded

Solução alternativa:

Para configurar o Prometheus de modo a ignorar estes alertas de falsos positivos, reveja as seguintes opções:

1. Silenciar o alerta na IU do Gestor de alertas.
2. Se não tiver a opção de desativar o som do alerta, reveja os seguintes passos para suprimir os falsos positivos:
   1. Reduza o operador de monitorização para 0 réplicas para que as modificações possam persistir.
   2. Modifique o prometheus-config configmap e adicione grpc_method!="Watch" à configuração de alerta etcdHighNumberOfFailedGRPCRequests, conforme mostrado no exemplo seguinte:
      • Original:

        rate(grpc_server_handled_total{cluster="CLUSTER_NAME",grpc_code!="OK",job=~".*etcd.*"}[5m])

      • Modificado:

        rate(grpc_server_handled_total{cluster="CLUSTER_NAME",grpc_code=~"Unknown|FailedPrecondition|ResourceExhausted|Internal|Unavailable|DataLoss|DeadlineExceeded",grpc_method!="Watch",job=~".*etcd.*"}[5m])

        Substitua o seguinte CLUSTER_NAME pelo nome do seu cluster.
   3. Reinicie o Statefulset do Prometheus e do Alertmanager para aplicar a nova configuração.
3. Se o código se enquadrar num dos casos problemáticos, verifique o registo etcd e o registo kube-apiserver para depurar mais.

As ligações de longa duração de NAT de saída são interrompidas

As ligações NAT de saída podem ser interrompidas após 5 a 10 minutos de uma ligação estabelecida se não houver tráfego.

Como o conntrack só é importante na direção de entrada (ligações externas ao cluster), este problema só ocorre se a ligação não transmitir informações durante algum tempo e, em seguida, o lado de destino transmitir algo. Se o pod com NAT de saída instanciar sempre a mensagem, este problema não é apresentado.

Este problema ocorre porque a recolha de lixo do anetd remove inadvertidamente as entradas de conntrack que o daemon considera não utilizadas. Uma correção a montante foi recentemente integrada no anetd para corrigir o comportamento.

Solução alternativa:

Não existe uma solução alternativa fácil e não detetámos problemas na versão 1.16 deste comportamento. Se notar que as ligações de longa duração foram interrompidas devido a este problema, as soluções alternativas consistem em usar uma carga de trabalho no mesmo nó que o endereço IP de saída ou enviar mensagens de forma consistente na ligação TCP.

O signatário do CSR ignora spec.expirationSeconds ao assinar certificados

Se criar um CertificateSigningRequest (CSR) com expirationSeconds definido, o expirationSeconds é ignorado.

Solução alternativa:

Se for afetado por este problema, pode atualizar o cluster de utilizadores adicionando disableNodeIDVerificationCSRSigning: true no ficheiro de configuração do cluster de utilizadores e executar o comando gkectl update cluster para atualizar o cluster com esta configuração.

A validação do balanceador de carga do cluster de utilizadores falha para disable_bundled_ingress

Se tentar desativar a entrada agrupada para um cluster existente, o comando gkectl update cluster falha com um erro semelhante ao seguinte exemplo:

[FAILURE] Config: ingress IP is required in user cluster spec

Este erro ocorre porque gkectl procura um endereço IP de entrada do balanceador de carga durante as verificações prévias. Embora esta verificação não seja necessária quando desativa a entrada agrupada, a verificação prévia de gkectl falha quando disableBundledIngress está definido como true.

Solução alternativa:

Use o parâmetro --skip-validation-load-balancer quando atualizar o cluster, conforme mostrado no exemplo seguinte:

gkectl update cluster \
  --kubeconfig ADMIN_CLUSTER_KUBECONFIG --config USER_CLUSTER_CONFIG  \
  --skip-validation-load-balancer

Para mais informações, veja como desativar a entrada agrupada para um cluster existente.

As atualizações do cluster de administrador falham após a rotação da AC

Se rodar os certificados da autoridade de certificação (AC) do cluster de administrador, as tentativas subsequentes de executar o comando gkectl update admin falham. O erro devolvido é semelhante ao seguinte:

failed to get last CARotationStage: configmaps "ca-rotation-stage" not found

Solução alternativa:

Se for afetado por este problema, pode atualizar o cluster de administrador usando o sinalizador --disable-update-from-checkpoint com o comando gkectl update admin:

gkectl update admin --config ADMIN_CONFIG_file \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
    --disable-update-from-checkpoint

Quando usa a flag --disable-update-from-checkpoint, o comando de atualização não usa o ficheiro de ponto de verificação como fonte de informações fidedignas durante a atualização do cluster. O ficheiro de ponto de verificação continua a ser atualizado para utilização futura.

A verificação prévia da carga de trabalho da CSI falha devido a uma falha no arranque do pod

Durante as verificações prévias, a verificação de validação da carga de trabalho do CSI instala um pod no espaço de nomes default. O pod de carga de trabalho do CSI valida se o controlador CSI do vSphere está instalado e se pode fazer o aprovisionamento dinâmico de volumes. Se este Pod não for iniciado, a verificação de validação da carga de trabalho do CSI falha.

Existem alguns problemas conhecidos que podem impedir o início deste Pod:

• Se o Pod não tiver limites de recursos especificados, o que acontece para alguns clusters com webhooks de admissão instalados, o Pod não é iniciado.
• Se o Cloud Service Mesh estiver instalado no cluster com a injeção automática de sidecar do Istio ativada no espaço de nomes default, o pod de carga de trabalho do CSI não é iniciado.

Se o pod de carga de trabalho do CSI não for iniciado, é apresentado um erro de limite de tempo, como o seguinte, durante as validações prévias:

- [FAILURE] CSI Workload: failure in CSIWorkload validation: failed to create writer Job to verify the write functionality using CSI: Job default/anthos-csi-workload-writer-<run-id> replicas are not in Succeeded phase: timed out waiting for the condition

Para ver se a falha é causada pela falta de recursos do pod definidos, execute o seguinte comando para verificar o estado da tarefa anthos-csi-workload-writer-<run-id>:

kubectl describe job anthos-csi-workload-writer-<run-id>

Se os limites de recursos não estiverem definidos corretamente para o pod de carga de trabalho do CSI, o estado da tarefa contém uma mensagem de erro semelhante à seguinte:

CPU and memory resource limits is invalid, as it are not defined for container: volume-tester

Se o pod de carga de trabalho do CSI não for iniciado devido à injeção de sidecar do Istio, pode desativar temporariamente a injeção de sidecar do Istio automática no espaço de nomes default. Verifique as etiquetas do espaço de nomes e use o seguinte comando para eliminar a etiqueta que começa com istio.io/rev:

kubectl label namespace default istio.io/rev-

Se o pod estiver configurado incorretamente, verifique manualmente se o aprovisionamento de volumes dinâmicos com o controlador CSI do vSphere funciona:

1. Crie um PVC que use a standard-rwo StorageClass.
2. Crie um pod que use o PVC.
3. Verifique se o pod consegue ler/escrever dados no volume.
4. Remova o pod e o PVC depois de validar o funcionamento adequado.

Se o aprovisionamento dinâmico de volumes com o controlador CSI do vSphere funcionar, execute gkectl diagnose ou gkectl upgrade com a flag --skip-validation-csi-workload para ignorar a verificação da carga de trabalho do CSI.

O tempo limite da atualização do cluster de utilizadores expira quando a versão do cluster de administrador é 1.15

Quando tem sessão iniciada numa estação de trabalho de administrador gerida pelo utilizador, o comando gkectl update cluster pode exceder o tempo limite e não atualizar o cluster de utilizadores. Isto acontece se: a versão do cluster de administrador for 1.15 e executar gkectl update admin antes de executar o comando gkectl update cluster. Quando esta falha ocorre, é apresentado o seguinte erro ao tentar atualizar o cluster:

      Preflight check failed with failed to run server-side preflight checks: server-side preflight checks failed: timed out waiting for the condition
Preflight check failed with failed to run server-side preflight checks: server-side preflight checks failed: timed out waiting for the condition
      

Durante a atualização de um cluster de administrador 1.15, o validation-controller que aciona as verificações prévias é removido do cluster. Se, em seguida, tentar atualizar o cluster de utilizadores, a verificação prévia fica suspensa até atingir o limite de tempo.

Solução alternativa:

1. Execute o seguinte comando para voltar a implementar o validation-controller:

         gkectl prepare --kubeconfig ADMIN_KUBECONFIG --bundle-path BUNDLE_PATH --upgrade-platform
         

2. Depois de a preparação estar concluída, execute o comando gkectl update cluster novamente para atualizar o cluster de utilizadores

O tempo limite da criação do cluster de utilizadores expira quando a versão do cluster de administrador é 1.15

Quando tem sessão iniciada numa estação de trabalho de administrador gerida pelo utilizador, o comando gkectl create cluster pode exceder o tempo limite e não criar o cluster de utilizadores. Isto acontece se: A versão do cluster de administrador for 1.15. Quando esta falha ocorre, é apresentado o seguinte erro ao tentar criar o cluster:

      Preflight check failed with failed to run server-side preflight checks: server-side preflight checks failed: timed out waiting for the condition
Preflight check failed with failed to run server-side preflight checks: server-side preflight checks failed: timed out waiting for the condition
      

Uma vez que o validation-controller foi adicionado na versão 1.16, quando usa o cluster de administrador 1.15, o validation-controller responsável por acionar as verificações de pré-voo está em falta. Por conseguinte, quando tenta criar um cluster de utilizadores, as verificações prévias ficam pendentes até atingir o limite de tempo.

Solução alternativa:

1. Execute o seguinte comando para implementar o validation-controller:

         gkectl prepare --kubeconfig ADMIN_KUBECONFIG --bundle-path BUNDLE_PATH --upgrade-platform
         

2. Após a preparação, execute o comando gkectl create cluster novamente para criar o cluster de utilizadores

A atualização ou a atualização da versão do cluster de administrador falha se os projetos ou as localizações dos serviços suplementares não corresponderem entre si

Quando atualiza um cluster de administrador da versão 1.15.x para a 1.16.x ou adiciona uma configuração connect, stackdriver, cloudAuditLogging ou gkeOnPremAPI quando atualiza um cluster de administrador, a operação pode ser rejeitada pelo webhook do cluster de administrador. Pode ser apresentada uma das seguintes mensagens de erro:

• "projects for connect, stackdriver and cloudAuditLogging must be the same when specified during cluster creation."
• "locations for connect, gkeOnPremAPI, stackdriver and cloudAuditLogging must be in the same region when specified during cluster creation."
• "locations for stackdriver and cloudAuditLogging must be the same when specified during cluster creation."

Uma atualização ou uma atualização para uma versão mais recente do cluster de administrador requer que o onprem-admin-cluster-controller reconcilie o cluster de administrador num cluster do tipo. Quando o estado do cluster de administrador é restaurado no cluster do tipo, o webhook do cluster de administrador não consegue distinguir se o objeto OnPremAdminCluster é para a criação de um cluster de administrador ou para retomar as operações de uma atualização. Algumas validações de apenas criação são invocadas na atualização e na atualização inesperadamente.

Solução alternativa:

Adicione a anotação onprem.cluster.gke.io/skip-project-location-sameness-validation: true ao objeto OnPremAdminCluster:

1. Edite o recurso de cluster onpremadminclusters:

   kubectl edit onpremadminclusters ADMIN_CLUSTER_NAME -n kube-system –kubeconfig ADMIN_CLUSTER_KUBECONFIG

   Substitua o seguinte:
   • ADMIN_CLUSTER_NAME: o nome do cluster de administração.
   • ADMIN_CLUSTER_KUBECONFIG: o caminho do ficheiro kubeconfig do cluster de administrador.
2. Adicione a anotação onprem.cluster.gke.io/skip-project-location-sameness-validation: true e guarde o recurso personalizado.
3. Consoante o tipo de clusters de administrador, conclua um dos seguintes passos:
   • Para clusters de administrador não de HA com um ficheiro de ponto de verificação: adicione o parâmetro disable-update-from-checkpoint no comando de atualização ou adicione o parâmetro `disable-upgrade-from-checkpoint` no comando de atualização. Estes parâmetros só são necessários na próxima vez que executar o comando update ou upgrade:
     • gkectl update admin --config ADMIN_CONFIG_file --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
         --disable-update-from-checkpoint

     • gkectl upgrade admin --config ADMIN_CONFIG_file --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
         --disable-upgrade-from-checkpoint

   • Para clusters de administrador de HA ou se o ficheiro de ponto de verificação estiver desativado: atualize ou faça a atualização do cluster de administrador como habitualmente. Não são necessários parâmetros adicionais nos comandos de atualização.

A eliminação do cluster de utilizadores falha quando usa uma estação de trabalho de administrador gerida pelo utilizador

Quando tem sessão iniciada numa estação de trabalho de administrador gerida pelo utilizador, o comando gkectl delete cluster pode exceder o tempo limite e não conseguir eliminar o cluster de utilizadores. Isto acontece se tiver executado primeiro o gkectl na estação de trabalho gerida pelo utilizador para criar, atualizar ou fazer a atualização do cluster de utilizadores. Quando esta falha ocorre, é apresentado o seguinte erro ao tentar eliminar o cluster:

      failed to wait for user cluster management namespace "USER_CLUSTER_NAME-gke-onprem-mgmt"
      to be deleted: timed out waiting for the condition
      

Durante a eliminação, um cluster elimina primeiro todos os respetivos objetos. A eliminação dos objetos de validação (criados durante a criação, a atualização ou a atualização) está bloqueada na fase de eliminação. Isto acontece porque um finalizador bloqueia a eliminação do objeto, o que faz com que a eliminação do cluster falhe.

Solução alternativa:

1. Obtenha os nomes de todos os objetos Validation:

            kubectl  --kubeconfig ADMIN_KUBECONFIG get validations \
              -n USER_CLUSTER_NAME-gke-onprem-mgmt
           

2. Para cada objeto Validation, execute o seguinte comando para remover o finalizador do objeto Validation:

         kubectl --kubeconfig ADMIN_KUBECONFIG patch validation/VALIDATION_OBJECT_NAME \
           -n USER_CLUSTER_NAME-gke-onprem-mgmt -p '{"metadata":{"finalizers":[]}}' --type=merge
         

   Depois de remover o finalizador de todos os objetos de validação, os objetos são removidos e a operação de eliminação do cluster de utilizador é concluída automaticamente. Não tem de fazer nada.

O tráfego do gateway de NAT de saída para o servidor externo falha

Se o pod de origem e o pod de gateway NAT de saída estiverem em dois nós de trabalho diferentes, o tráfego do pod de origem não consegue alcançar nenhum serviço externo. Se os pods estiverem localizados no mesmo anfitrião, a ligação ao serviço ou à aplicação externa é bem-sucedida.

Este problema é causado pelo vSphere que elimina pacotes VXLAN quando a agregação de túneis está ativada. Existe um problema conhecido com o NSX e o VMware que envia apenas tráfego agregado em portas VXLAN conhecidas (4789).

Solução alternativa:

Altere a porta VXLAN usada pelo Cilium para 4789:

1. Edite o cilium-config ConfigMap:

   kubectl edit cm -n kube-system cilium-config --kubeconfig USER_CLUSTER_KUBECONFIG

2. Adicione o seguinte ao cilium-config ConfigMap:

   tunnel-port: 4789

3. Reinicie o DaemonSet anetd:

   kubectl rollout restart ds anetd -n kube-system --kubeconfig USER_CLUSTER_KUBECONFIG

Esta solução alternativa é revertida sempre que o cluster é atualizado. Tem de reconfigurar após cada atualização. A VMware tem de resolver o respetivo problema no vSphere para uma correção permanente.

A atualização de um cluster de administrador com a encriptação de secrets sempre ativa falha

A atualização do cluster de administrador de 1.14.x para 1.15.x com a encriptação de segredos sempre ativada falha devido a uma incompatibilidade entre a chave de encriptação gerada pelo controlador e a chave que persiste no disco de dados principal do administrador. A saída de gkectl upgrade admin contém a seguinte mensagem de erro:

      E0926 14:42:21.796444   40110 console.go:93] Exit with error:
      E0926 14:42:21.796491   40110 console.go:93] Failed to upgrade the admin cluster: failed to create admin cluster: failed to wait for OnPremAdminCluster "admin-cluster-name" to become ready: failed to wait for OnPremAdminCluster "admin-cluster-name" to be ready: error: timed out waiting for the condition, message: failed to wait for OnPremAdminCluster "admin-cluster-name" to stay in ready status for duration "2m0s": OnPremAdminCluster "non-prod-admin" is not ready: ready condition is not true: CreateOrUpdateControlPlane: Creating or updating credentials for cluster control plane
      

A execução de kubectl get secrets -A --kubeconfig KUBECONFIG` falha com o seguinte erro:

      Internal error occurred: unable to transform key "/registry/secrets/anthos-identity-service/ais-secret": rpc error: code = Internal desc = failed to decrypt: unknown jwk
      

Alternativa

Se tiver uma cópia de segurança do cluster de administrador, siga estes passos para contornar a falha na atualização:

1. Desative secretsEncryption no ficheiro de configuração do cluster de administração e atualize o cluster com o seguinte comando:

   gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig KUBECONFIG

2. Quando a nova VM principal de administração for criada, use SSH para aceder à VM principal de administração e substitua a nova chave no disco de dados pela antiga da cópia de segurança. A chave encontra-se em /opt/data/gke-k8s-kms-plugin/generatedkeys no administrador principal.
3. Atualize o manifesto do pod estático kms-plugin.yaml em /etc/kubernetes/manifests para atualizar o --kek-id de modo a corresponder ao campo kid na chave de encriptação original.
4. Reinicie o pod estático kms-plugin movendo o /etc/kubernetes/manifests/kms-plugin.yaml para outro diretório e, em seguida, movendo-o novamente.
5. Retome a atualização de administrador executando gkectl upgrade admin novamente.

Evitar a falha na atualização

Se ainda não fez a atualização, recomendamos que não o faça para a versão 1.15.0 a 1.15.4. Se tiver de atualizar para uma versão afetada, siga os passos abaixo antes de atualizar o cluster de administrador:

1. Faça uma cópia de segurança do cluster de administrador.
2. Desative secretsEncryption no ficheiro de configuração do cluster de administração e atualize o cluster com o seguinte comando:

   gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig KUBECONFIG

3. Atualize o cluster de administrador.
4. Reative a encriptação de segredos sempre ativada.

Erros de disco e falhas de associação quando usa a funcionalidade Changed Block Tracking (CBT)

O Google Distributed Cloud não suporta a funcionalidade Changed Block Tracking (CBT) em discos. Alguns softwares de cópia de segurança usam a funcionalidade CBT para monitorizar o estado do disco e fazer cópias de segurança, o que faz com que o disco não consiga estabelecer ligação a uma VM que execute o Google Distributed Cloud. Para mais informações, consulte o artigo da KB da VMware.

Solução alternativa:

Não faça uma cópia de segurança das VMs do Google Distributed Cloud, uma vez que o software de cópia de segurança de terceiros pode fazer com que o CBT seja ativado nos respetivos discos. Não é necessário fazer uma cópia de segurança destas VMs.

Não ative o CBT no nó, uma vez que esta alteração não é mantida nas atualizações ou nas atualizações de versão.

Se já tiver discos com a CBT ativada, siga os passos de resolução no artigo da VMware KBpara desativar a CBT no disco de primeira classe.

Corrupção de dados no NFSv3 quando são feitas anexações paralelas a um ficheiro partilhado a partir de vários anfitriões

Se usar matrizes de armazenamento Nutanix para fornecer partilhas NFSv3 aos seus anfitriões, pode ocorrer corrupção de dados ou os pods podem não ser executados com êxito. Este problema é causado por um problema de compatibilidade conhecido entre determinadas versões do VMware e do Nutanix. Para mais informações, consulte o artigo da VMware KB associado.

Solução alternativa:

O artigo da base de conhecimentos da VMware está desatualizado ao indicar que não existe uma resolução atual. Para resolver este problema, atualize para a versão mais recente do ESXi nos seus anfitriões e para a versão mais recente do Nutanix nos seus conjuntos de armazenamento.

Incompatibilidade de versões entre o kubelet e o plano de controlo do Kubernetes

Para determinadas versões do Google Distributed Cloud, o kubelet executado nos nós usa uma versão diferente da do plano de controlo do Kubernetes. Existe uma incompatibilidade porque o ficheiro binário kubelet pré-carregado na imagem do SO está a usar uma versão diferente.

A tabela seguinte lista as incompatibilidades de versões identificadas:

Solução alternativa:

Não é necessária nenhuma ação. A inconsistência existe apenas entre as versões de patch do Kubernetes e não foram causados problemas por esta diferença de versões.

A atualização de um cluster de administrador com uma versão da AC superior a 1 falha

Quando um cluster de administrador tem uma versão da autoridade de certificação (AC) superior a 1, uma atualização falha devido à validação da versão da AC no webhook. A saída da atualização de gkectl contém a seguinte mensagem de erro:

    CAVersion must start from 1
    

Solução alternativa:

• Reduza a escala da implementação do auto-resize-controller no cluster de administração para desativar o redimensionamento automático de nós. Isto é necessário porque um novo campo introduzido no recurso personalizado do cluster de administrador na versão 1.15 pode causar um erro de ponteiro nulo no auto-resize-controller.

   kubectl scale deployment auto-resize-controller -n kube-system --replicas=0 --kubeconfig KUBECONFIG
        

• Execute comandos gkectl com a flag --disable-admin-cluster-webhook.Por exemplo:

          gkectl upgrade admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig KUBECONFIG --disable-admin-cluster-webhook
          

A eliminação do cluster do plano de controlo V2 não de alta disponibilidade fica bloqueada até ao limite de tempo

Quando um cluster do plano de controlo V2 não HA é eliminado, fica bloqueado na eliminação de nós até atingir o limite de tempo.

Solução alternativa:

Se o cluster contiver um StatefulSet com dados críticos, contacte o apoio técnico do Google Cloud para resolver este problema.

Caso contrário, siga estes passos:

• Elimine todas as VMs do cluster do vSphere. Pode eliminar as VMs através da IU do vSphere ou executar o seguinte comando:

        govc vm.destroy

  .
• Forçar a eliminação do cluster novamente:

       gkectl delete cluster --cluster USER_CLUSTER_NAME --kubeconfig ADMIN_KUBECONFIG --force
       

As tarefas de volume de anexos de CNS constantes aparecem a cada minuto para PVC/PV na árvore após a atualização para a versão 1.15 ou superior

Quando um cluster contém volumes persistentes do vSphere no sistema (por exemplo, PVCs criados com a standard StorageClass), observa tarefas com.vmware.cns.tasks.attachvolume acionadas a cada minuto a partir do vCenter.

Solução alternativa:

Edite o configMap da funcionalidade CSI do vSphere e defina list-volumes como falso:

     kubectl edit configmap internal-feature-states.csi.vsphere.vmware.com -n kube-system --kubeconfig KUBECONFIG
     

Reinicie os pods do controlador CSI do vSphere:

     kubectl rollout restart deployment vsphere-csi-controller -n kube-system --kubeconfig KUBECONFIG
    

Avisos falsos contra PVCs

Quando um cluster contém volumes persistentes do vSphere intree, os comandos gkectl diagnose e gkectl upgrade podem gerar avisos falsos contra as respetivas reivindicações de volume persistente (PVCs) quando validam as definições de armazenamento do cluster. A mensagem de aviso tem o seguinte aspeto:

    CSIPrerequisites pvc/pvc-name: PersistentVolumeClaim pvc-name bounds to an in-tree vSphere volume created before CSI migration enabled, but it doesn't have the annotation pv.kubernetes.io/migrated-to set to csi.vsphere.vmware.com after CSI migration is enabled
    

Solução alternativa:

Execute o seguinte comando para verificar as anotações de um PVC com o aviso acima:

    kubectl get pvc PVC_NAME -n PVC_NAMESPACE -oyaml --kubeconfig KUBECONFIG
    

Se o campo annotations na saída contiver o seguinte, pode ignorar o aviso em segurança:

      pv.kubernetes.io/bind-completed: "yes"
      pv.kubernetes.io/bound-by-controller: "yes"
      volume.beta.kubernetes.io/storage-provisioner: csi.vsphere.vmware.com
    

A rotação da chave da conta de serviço falha quando várias chaves estão expiradas

Se o seu cluster não estiver a usar um registo privado e as chaves da conta de serviço de acesso aos componentes e as chaves da conta de serviço de registo do Logging-monitoring (ou do Connect) tiverem expirado, quando alternar as chaves da conta de serviço, gkectl update credentials falha com um erro semelhante ao seguinte:

Error: reconciliation failed: failed to update platform: ...

Solução alternativa:

Primeiro, alterne a chave da conta de serviço de acesso aos componentes. Embora seja apresentada a mesma mensagem de erro, deve conseguir rodar as outras chaves após a rotação da chave da conta de serviço de acesso aos componentes.

Se a atualização ainda não for bem-sucedida, contacte o apoio ao cliente do Google Cloud para resolver este problema.

1.15 A máquina principal do utilizador encontra uma recriação inesperada quando o controlador do cluster de utilizadores é atualizado para 1.16

Durante uma atualização do cluster de utilizadores, depois de o controlador do cluster de utilizadores ser atualizado para a versão 1.16, se tiver outros clusters de utilizadores 1.15 geridos pelo mesmo cluster de administrador, a respetiva máquina principal do utilizador pode ser recriada inesperadamente.

Existe um erro no controlador do cluster de utilizadores 1.16 que pode acionar a recriação da máquina principal do utilizador 1.15.

A solução alternativa que usa depende da forma como encontra este problema.

Solução alternativa quando atualiza o cluster de utilizadores através da Google Cloud consola:

Opção 1: use uma versão 1.16.6 ou superior do GKE on VMware com a correção.

Opção 2: siga os passos seguintes:

1. Adicione manualmente a anotação de nova execução com o seguinte comando:

   kubectl edit onpremuserclusters USER_CLUSTER_NAME -n USER_CLUSTER_NAME-gke-onprem-mgmt --kubeconfig ADMIN_KUBECONFIG

   A anotação de repetição é:

   onprem.cluster.gke.io/server-side-preflight-rerun: true

2. Monitorize o progresso da atualização verificando o campo status do OnPremUserCluster.

Solução alternativa quando atualiza o cluster de utilizadores através da sua própria estação de trabalho de administrador:

Opção 1: use uma versão 1.16.6 ou superior do GKE on VMware com a correção.

Opção 2: siga os passos seguintes:

1. Adicione o ficheiro de informações de compilação /etc/cloud/build.info com o seguinte conteúdo. Isto faz com que as verificações prévias sejam executadas localmente na estação de trabalho do administrador e não no servidor.

   gke_on_prem_version: GKE_ON_PREM_VERSION

   Por exemplo:

   gke_on_prem_version: 1.16.0-gke.669

2. Execute novamente o comando de atualização.
3. Após a conclusão da atualização, elimine o ficheiro build.info.

A verificação prévia falha quando o nome do anfitrião não está no ficheiro de bloqueio de IPs.

Durante a criação do cluster, se não especificar um nome de anfitrião para cada endereço IP no ficheiro de bloco de IP, a verificação prévia falha com a seguinte mensagem de erro:

multiple VMs found by DNS name  in xxx datacenter. Anthos Onprem doesn't support duplicate hostname in the same vCenter and you may want to rename/delete the existing VM.`
    

Existe um erro na verificação prévia que considera o nome de anfitrião vazio como duplicado.

Solução alternativa:

Opção 1: use uma versão com a correção.

Opção 2: ignore esta verificação prévia adicionando a flag --skip-validation-net-config.

Opção 3: especifique um nome de anfitrião único para cada endereço IP no ficheiro de blocos de IP.

Falha na montagem de volume ao atualizar o cluster de administrador se estiver a usar um cluster de administrador não HA e um cluster de utilizador v1 do plano de controlo

Para um cluster de administrador não de HA e um cluster de utilizador do plano de controlo v1, quando atualiza o cluster de administrador, a recriação da máquina principal do cluster de administrador pode ocorrer ao mesmo tempo que o reinício da máquina principal do cluster de utilizador, o que pode revelar uma condição de corrida. Isto faz com que os pods do plano de controlo do cluster de utilizadores não consigam comunicar com o plano de controlo do cluster de administrador, o que causa problemas de associação de volumes para o kube-etcd e o kube-apiserver no plano de controlo do cluster de utilizadores.

Para validar o problema, execute os seguintes comandos para o pod afetado:

kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG --namespace USER_CLUSTER_NAME describe pod IMPACTED_POD_NAME

Events:
  Type     Reason       Age                  From               Message
  ----     ------       ----                 ----               -------
  Warning  FailedMount  101s                 kubelet            Unable to attach or mount volumes: unmounted volumes=[kube-audit], unattached volumes=[], failed to process volumes=[]: timed out waiting for the condition
  Warning  FailedMount  86s (x2 over 3m28s)  kubelet            MountVolume.SetUp failed for volume "pvc-77cd0635-57c2-4392-b191-463a45c503cb" : rpc error: code = FailedPrecondition desc = volume ID: "bd313c62-d29b-4ecd-aeda-216648b0f7dc" does not appear staged to "/var/lib/kubelet/plugins/kubernetes.io/csi/csi.vsphere.vmware.com/92435c96eca83817e70ceb8ab994707257059734826fedf0c0228db6a1929024/globalmount"

Solução alternativa:

1. SSH para o nó do plano de controlo do utilizador, uma vez que é um cluster de utilizadores do plano de controlo v1, o nó do plano de controlo do utilizador está no cluster de administrador.
2. Reinicie o kubelet com o seguinte comando:

       sudo systemctl restart kubelet
       

   Após o reinício, o kubelet pode reconstruir a montagem global de preparação corretamente.

Não é possível criar o nó do plano de controlo

Durante uma atualização de um cluster de administrador, pode ocorrer uma condição de corrida que faça com que o gestor do controlador de nuvem do vSphere elimine inesperadamente um novo nó do plano de controlo. Isto faz com que o clusterapi-controller fique bloqueado a aguardar a criação do nó e, eventualmente, o tempo limite da atualização/atualização expire. Neste caso, o resultado do comando gkectl upgrade/update é semelhante ao seguinte:

    controlplane 'default/gke-admin-hfzdg' is not ready: condition "Ready": condition is not ready with reason "MachineInitializing", message "Wait for the control plane machine "gke-admin-hfzdg-6598459f9zb647c8-0\" to be rebooted"...
    

Para identificar o sintoma, execute o comando abaixo para iniciar sessão no gestor do controlador da nuvem do vSphere no cluster de administrador:

    kubectl get pods --kubeconfig ADMIN_KUBECONFIG -n kube-system | grep vsphere-cloud-controller-manager
    kubectl logs -f vsphere-cloud-controller-manager-POD_NAME_SUFFIX --kubeconfig ADMIN_KUBECONFIG -n kube-system
    

Segue-se uma mensagem de erro de exemplo do comando acima:

    node name: 81ff17e25ec6-qual-335-1500f723 has a different uuid. Skip deleting this node from cache.
    

Solução alternativa:

1. Reinicie o computador com falhas para recriar o objeto de nó eliminado.
2. Use SSH em cada nó do plano de controlo e reinicie o pod estático do gestor do controlador de nuvem do vSphere:

         sudo crictl ps | grep vsphere-cloud-controller-manager | awk '{print $1}'
         sudo crictl stop PREVIOUS_COMMAND_OUTPUT
         

3. Volte a executar o comando de atualização.

O nome do anfitrião duplicado no mesmo centro de dados causa falhas na criação ou na atualização do cluster

A atualização de um cluster 1.15 ou a criação de um cluster 1.16 com IPs estáticos falha se existirem nomes de anfitrião duplicados no mesmo centro de dados. Esta falha ocorre porque o gestor do controlador da nuvem do vSphere não consegue adicionar um IP externo nem um ID do fornecedor no objeto do nó. Isto faz com que a atualização/criação do cluster exceda o tempo limite.

Para identificar o problema, obtenha os registos do pod do gestor do controlador de nuvem do vSphere para o cluster. O comando que usa depende do tipo de cluster, da seguinte forma:

• Cluster de administrador:

        kubectl get pods --kubeconfig ADMIN_KUBECONFIG -n kube-system | grep vsphere-cloud-controller-manager
        kubectl logs -f vsphere-cloud-controller-manager-POD_NAME_SUFFIX --kubeconfig ADMIN_KUBECONFIG -n kube-system
        

• Cluster de utilizadores com enableControlplaneV2 false:

        kubectl get pods --kubeconfig ADMIN_KUBECONFIG -n USER_CLUSTER_NAME | grep vsphere-cloud-controller-manager
        kubectl logs -f vsphere-cloud-controller-manager-POD_NAME_SUFFIX --kubeconfig ADMIN_KUBECONFIG -n USER_CLUSTER_NAME
        

• Cluster de utilizadores com enableControlplaneV2 true:

        kubectl get pods --kubeconfig USER_KUBECONFIG -n kube-system | grep vsphere-cloud-controller-manager
        kubectl logs -f vsphere-cloud-controller-manager-POD_NAME_SUFFIX --kubeconfig USER_KUBECONFIG -n kube-system
        

Segue-se uma mensagem de erro de exemplo:

    I1003 17:17:46.769676       1 search.go:152] Finding node admin-vm-2 in vc=vcsa-53598.e5c235a1.asia-northeast1.gve.goog and datacenter=Datacenter
    E1003 17:17:46.771717       1 datacenter.go:111] Multiple vms found VM by DNS Name. DNS Name: admin-vm-2
    

Verifique se o nome de anfitrião está duplicado no centro de dados:

          export GOVC_DATACENTER=GOVC_DATACENTER
          export GOVC_URL=GOVC_URL
          export GOVC_USERNAME=GOVC_USERNAME
          export GOVC_PASSWORD=GOVC_PASSWORD
          export GOVC_INSECURE=true
          govc find . -type m -guest.hostName HOSTNAME
          

          export GOVC_DATACENTER=mtv-lifecycle-vc01
          export GOVC_URL=https://mtv-lifecycle-vc01.anthos/sdk
          export GOVC_USERNAME=xxx
          export GOVC_PASSWORD=yyy
          export GOVC_INSECURE=true
          govc find . -type m -guest.hostName f8c3cd333432-lifecycle-337-xxxxxxxz
          ./vm/gke-admin-node-6b7788cd76-wkt8g
          ./vm/gke-admin-node-6b7788cd76-99sg2
          ./vm/gke-admin-master-5m2jb
          

A solução alternativa que usa depende da operação que falhou.

Solução alternativa para atualizações:

Aplique a solução alternativa para o tipo de cluster aplicável.

• Cluster de utilizadores:
  1. Atualize o nome do anfitrião da máquina afetada no ficheiro user-ip-block.yaml para um nome único e acione uma atualização forçada:
     

               gkectl update cluster --kubeconfig ADMIN_KUBECONFIG --config NEW_USER_CLUSTER_CONFIG --force
               

  2. Repetir gkectl upgrade cluster
• Cluster de administrador:
  1. Atualize o nome do anfitrião da máquina afetada no ficheiro admin-ip-block.yaml para um nome único e acione uma atualização forçada:
     

               gkectl update admin --kubeconfig ADMIN_KUBECONFIG --config NEW_ADMIN_CLUSTER_CONFIG --force --skip-cluster-ready-check
               

  2. Se for um cluster de administrador não de HA e verificar que a VM principal do administrador está a usar um nome de anfitrião duplicado, também tem de:
     Obter o nome da máquina principal do administrador

               kubectl get machine --kubeconfig ADMIN_KUBECONFIG -owide -A
               

     Atualize o objeto da máquina principal do administrador
     Nota: o NEW_ADMIN_MASTER_HOSTNAME deve ser igual ao que definiu em admin-ip-block.yaml no passo 1.
     

               kubectl patch machine ADMIN_MASTER_MACHINE_NAME --kubeconfig ADMIN_KUBECONFIG --type='json' -p '[{"op": "replace", "path": "/spec/providerSpec/value/networkSpec/address/hostname", "value":"NEW_ADMIN_MASTER_HOSTNAME"}]'
               

     Verifique se o nome do anfitrião está atualizado no objeto da máquina principal do administrador:
     

               kubectl get machine ADMIN_MASTER_MACHINE_NAME --kubeconfig ADMIN_KUBECONFIG -oyaml
               kubectl get machine ADMIN_MASTER_MACHINE_NAME --kubeconfig ADMIN_KUBECONFIG -o jsonpath='{.spec.providerSpec.value.networkSpec.address.hostname}'
               

  3. Volte a executar a atualização do cluster de administrador com o ponto de verificação desativado:
     

               gkectl upgrade admin --kubeconfig ADMIN_KUBECONFIG --config ADMIN_CLUSTER_CONFIG --disable-upgrade-from-checkpoint
               

Solução alternativa para instalações:

Aplique a solução alternativa para o tipo de cluster aplicável.

• Cluster de administrador:
  1. Elimine a máquina do nó de administrador.
  2. Elimine o disco de dados.
  3. Elimine o ficheiro de ponto de verificação do cluster de administrador.
  4. Atualize o nome de anfitrião da máquina afetada no ficheiro admin-ip-block.yaml para um nome exclusivo.
  5. Volte a executar gkectl create admin.
• Cluster de utilizadores:
  1. Limpe os recursos.
  2. Atualize o nome de anfitrião da máquina afetada no ficheiro user-ip-block.yaml para um nome único.
  3. Volte a executar gkectl create cluster.

Os caracteres $ e ` não são suportados no nome de utilizador nem na palavra-passe do vSphere

As seguintes operações falham quando o nome de utilizador ou a palavra-passe do vSphere contém $ ou `:

• Atualizar um cluster de utilizador 1.15 com o Controlplane V2 ativado para 1.16
• Atualizar um cluster de administrador de alta disponibilidade (HA) 1.15 para 1.16
• Criar um cluster de utilizadores 1.16 com o Controlplane V2 ativado
• Criar um cluster de administrador de HA 1.16

Use uma versão 1.16.4 ou superior do Google Distributed Cloud com a correção ou execute a solução alternativa abaixo. A solução alternativa que usa depende da operação que falhou.

Solução alternativa para atualizações:

1. Altere o nome de utilizador ou a palavra-passe do vCenter no lado do vCenter para remover o $ e o `.
2. Atualize o nome de utilizador ou a palavra-passe do vCenter no ficheiro de configuração de credenciais.
3. Acionar uma atualização forçada do cluster.
• Cluster de utilizadores:

          gkectl update cluster --kubeconfig ADMIN_KUBECONFIG --config USER_CLUSTER_CONFIG --force
          

• Cluster de administrador:

          gkectl update admin --kubeconfig ADMIN_KUBECONFIG --config ADMIN_CLUSTER_CONFIG --force --skip-cluster-ready-check
          

Solução alternativa para instalações:

1. Altere o nome de utilizador ou a palavra-passe do vCenter no lado do vCenter para remover o $ e o `.
2. Atualize o nome de utilizador ou a palavra-passe do vCenter no ficheiro de configuração de credenciais.
3. Aplique a solução alternativa para o tipo de cluster aplicável.
• Cluster de administrador:
  1. Elimine a máquina do nó de administrador.
  2. Elimine o disco de dados.
  3. Elimine o ficheiro de ponto de verificação do cluster de administrador.
  4. Volte a executar gkectl create admin.
• Cluster de utilizadores:
  1. Limpe os recursos.
  2. Volte a executar gkectl create cluster.

Falha na criação do PVC após a recriação do nó com o mesmo nome

Depois de um nó ser eliminado e, em seguida, recriado com o mesmo nome do nó, existe uma ligeira probabilidade de que uma criação subsequente de PersistentVolumeClaim (PVC) falhe com um erro semelhante ao seguinte:

    The object 'vim.VirtualMachine:vm-988369' has already been deleted or has not been completely created

Isto é causado por uma condição de corrida em que o controlador CSI do vSphere não elimina uma máquina removida da respetiva cache.

Solução alternativa:

Reinicie os pods do controlador CSI do vSphere:

    kubectl rollout restart deployment vsphere-csi-controller -n kube-system --kubeconfig KUBECONFIG
    

gkectl repair admin-master returns kubeconfig unmarshall error

Quando executa o comando gkectl repair admin-master num cluster de administrador de HA, o gkectl devolve a seguinte mensagem de erro:

  Exit with error: Failed to repair: failed to select the template: failed to get cluster name from kubeconfig, please contact Google support. failed to decode kubeconfig data: yaml: unmarshal errors:
    line 3: cannot unmarshal !!seq into map[string]*api.Cluster
    line 8: cannot unmarshal !!seq into map[string]*api.Context
  

Solução alternativa:

Adicione a flag --admin-master-vm-template= ao comando e forneça o modelo de VM da máquina a reparar:

  gkectl repair admin-master --kubeconfig=ADMIN_CLUSTER_KUBECONFIG \
      --config ADMIN_CLUSTER_CONFIG_FILE \
      --admin-master-vm-template=/DATA_CENTER/vm/VM_TEMPLATE_NAME
  

Para encontrar o modelo de VM da máquina:

1. Aceda à página Hosts and Clusters no cliente vSphere.
2. Clique em Modelos de VMs e filtre pelo nome do cluster de administrador.

   Deve ver os três modelos de VMs para o cluster de administrador.

3. Copie o nome do modelo de VM que corresponde ao nome da máquina que está a reparar e use o nome do modelo no comando de reparação.

  gkectl repair admin-master \
      --config=/home/ubuntu/admin-cluster.yaml \
      --kubeconfig=/home/ubuntu/kubeconfig \
      --admin-master-vm-template=/atl-qual-vc07/vm/gke-admin-98g94-zx...7vx-0-tmpl

A VM do Seesaw está danificada devido ao espaço em disco insuficiente

Se usar o Seesaw como o tipo de equilibrador de carga para o seu cluster e vir que uma VM do Seesaw está inativa ou continua a falhar ao arrancar, pode ver a seguinte mensagem de erro na consola do vSphere:

    GRUB_FORCE_PARTUUID set, initrdless boot failed. Attempting with initrd
    

Este erro indica que o espaço em disco é baixo na VM porque o fluent-bit em execução na VM do Seesaw não está configurado com a rotação de registos correta.

Solução alternativa:

Localize os ficheiros de registo que consomem a maior parte do espaço em disco através de du -sh -- /var/lib/docker/containers/* | sort -rh. Limpe o ficheiro de registo com o maior tamanho e reinicie a VM.

Nota: se a VM estiver completamente inacessível, anexe o disco a uma VM funcional (por exemplo, uma estação de trabalho de administrador), remova o ficheiro do disco anexado e, em seguida, volte a anexar o disco à VM do Seesaw original.

Para evitar que o problema volte a ocorrer, estabeleça ligação à VM e modifique o ficheiro /etc/systemd/system/docker.fluent-bit.service. Adicione --log-opt max-size=10m --log-opt max-file=5 no comando Docker e, em seguida, execute systemctl restart docker.fluent-bit.service

Erro de chave pública de SSH de administrador após a atualização do cluster de administrador

Quando tenta atualizar (gkectl upgrade admin) ou atualizar (gkectl update admin) um cluster de administrador sem elevada disponibilidade com o ponto de verificação ativado, a atualização pode falhar com erros como os seguintes:

Checking admin cluster certificates...FAILURE
    Reason: 20 admin cluster certificates error(s).
Unhealthy Resources:
    AdminMaster clusterCA bundle: failed to get clusterCA bundle on admin master, command [ssh -o IdentitiesOnly=yes -i admin-ssh-key -o StrictHostKeyChecking=no -o ConnectTimeout=30 ubuntu@AdminMasterIP -- sudo cat /etc/kubernetes/pki/ca-bundle.crt] failed with error: exit status 255, stderr: Authorized uses only. All activity may be monitored and reported.
    ubuntu@AdminMasterIP: Permission denied (publickey).

failed to ssh AdminMasterIP, failed with error: exit status 255, stderr: Authorized uses only. All activity may be monitored and reported.
    ubuntu@AdminMasterIP: Permission denied (publickey)

error dialing ubuntu@AdminMasterIP: failed to establish an authenticated SSH connection: ssh: handshake failed: ssh: unable to authenticate, attempted methods [none publickey]...

Solução alternativa:

Se não conseguir atualizar para uma versão de patch do Google Distributed Cloud com a correção, contacte o Apoio técnico da Google para receber assistência.

A atualização de um cluster de administrador inscrito na API GKE On-Prem pode falhar

Quando um cluster de administrador está inscrito na API GKE On-Prem, a atualização do cluster de administrador para as versões afetadas pode falhar porque não foi possível atualizar a associação da frota. Quando esta falha ocorre, é apresentado o seguinte erro ao tentar atualizar o cluster:

    failed to register cluster: failed to apply Hub Membership: Membership API request failed: rpc error: code = InvalidArgument desc = InvalidFieldError for field endpoint.on_prem_cluster.resource_link: field cannot be updated
    

Um cluster de administrador é inscrito na API quando inscreve explicitamente o cluster ou quando atualiza um cluster de utilizador através de um cliente da API GKE On-Prem.

Solução alternativa:

    gcloud alpha container vmware admin-clusters unenroll ADMIN_CLUSTER_NAME --project CLUSTER_PROJECT --location=CLUSTER_LOCATION --allow-missing
    

A anotação do link de recurso do cluster de administrador inscrito não é preservada

Quando um cluster de administrador está inscrito na API GKE On-Prem, a respetiva anotação de link de recurso é aplicada ao recurso personalizado OnPremAdminCluster, que não é preservado durante as atualizações posteriores do cluster de administrador devido à utilização da chave de anotação incorreta. Isto pode fazer com que o cluster de administrador seja inscrito novamente na API GKE On-Prem por engano.

Um cluster de administrador é inscrito na API quando inscreve explicitamente o cluster ou quando atualiza um cluster de utilizador através de um cliente da API GKE On-Prem.

Solução alternativa:

    gcloud alpha container vmware admin-clusters unenroll ADMIN_CLUSTER_NAME --project CLUSTER_PROJECT --location=CLUSTER_LOCATION --allow-missing
    

CoreDNS orderPolicy não reconhecido

OrderPolicy não é reconhecido como um parâmetro e não é usado. Em alternativa, o Google Distributed Cloud usa sempre Random.

Este problema ocorre porque o modelo CoreDNS não foi atualizado, o que faz com que orderPolicy seja ignorado.

Solução alternativa:

Atualize o modelo CoreDNS e aplique a correção. Esta correção persiste até uma atualização.

1. Edite o modelo existente:

   kubectl edit cm -n kube-system coredns-template

   Substitua o conteúdo do modelo pelo seguinte:

   coredns-template: |-
     .:53 {
       errors
       health {
         lameduck 5s
       }
       ready
       kubernetes cluster.local in-addr.arpa ip6.arpa {
         pods insecure
         fallthrough in-addr.arpa ip6.arpa
       }
   {{- if .PrivateGoogleAccess }}
       import zones/private.Corefile
   {{- end }}
   {{- if .RestrictedGoogleAccess }}
       import zones/restricted.Corefile
   {{- end }}
       prometheus :9153
       forward . {{ .UpstreamNameservers }} {
         max_concurrent 1000
         {{- if ne .OrderPolicy "" }}
         policy {{ .OrderPolicy }}
         {{- end }}
       }
       cache 30
   {{- if .DefaultDomainQueryLogging }}
       log
   {{- end }}
       loop
       reload
       loadbalance
   }{{ range $i, $stubdomain := .StubDomains }}
   {{ $stubdomain.Domain }}:53 {
     errors
   {{- if $stubdomain.QueryLogging }}
     log
   {{- end }}
     cache 30
     forward . {{ $stubdomain.Nameservers }} {
       max_concurrent 1000
       {{- if ne $.OrderPolicy "" }}
       policy {{ $.OrderPolicy }}
       {{- end }}
     }
   }
   {{- end }}

O estado do OnPremAdminCluster é inconsistente entre o ponto de verificação e o CR real

Determinadas condições de concorrência podem fazer com que o estado OnPremAdminCluster seja inconsistente entre o ponto de verificação e o CR real. Quando o problema ocorre, pode encontrar o seguinte erro ao atualizar o cluster de administrador depois de o ter atualizado:

Exit with error:
E0321 10:20:53.515562  961695 console.go:93] Failed to update the admin cluster: OnPremAdminCluster "gke-admin-rj8jr" is in the middle of a create/upgrade ("" -> "1.15.0-gke.123"), which must be completed before it can be updated
Failed to update the admin cluster: OnPremAdminCluster "gke-admin-rj8jr" is in the middle of a create/upgrade ("" -> "1.15.0-gke.123"), which must be completed before it can be updated

O processo de conciliação altera os certificados de administrador nos clusters de administrador

O Google Distributed Cloud altera os certificados de administrador nos planos de controlo do cluster de administrador com cada processo de conciliação, como durante uma atualização do cluster. Este comportamento aumenta a possibilidade de obter certificados inválidos para o cluster de administrador, especialmente para clusters da versão 1.15.

Se for afetado por este problema, pode deparar-se com problemas como os seguintes:

• Os certificados inválidos podem fazer com que os seguintes comandos excedam o limite de tempo e devolvam erros:
  • gkectl create admin
  • gkectl upgrade amdin
  • gkectl update admin

  Estes comandos podem devolver erros de autorização, como os seguintes:

  Failed to reconcile admin cluster: unable to populate admin clients: failed to get admin controller runtime client: Unauthorized

• Os registos kube-apiserver do cluster de administrador podem conter erros como os seguintes:

  Unable to authenticate the request" err="[x509: certificate has expired or is not yet valid...

Solução alternativa:

Atualize para uma versão do Google Distributed Cloud com a correção: 1.13.10+, 1.14.6+, 1.15.2+. Se a atualização não for viável para si, contacte o apoio ao cliente do Google Cloud para resolver este problema.

Componentes do Anthos Network Gateway despejados ou pendentes devido à classe de prioridade em falta

Os pods de gateway de rede em kube-system podem apresentar um estado de Pending ou Evicted, conforme mostrado no seguinte exemplo de saída condensado:

$ kubectl -n kube-system get pods | grep ang-node
ang-node-bjkkc     2/2     Running     0     5d2h
ang-node-mw8cq     0/2     Evicted     0     6m5s
ang-node-zsmq7     0/2     Pending     0     7h

Estes erros indicam eventos de despejo ou a impossibilidade de agendar pods devido a recursos de nós. Como os pods do Anthos Network Gateway não têm PriorityClass, têm a mesma prioridade predefinida que outras cargas de trabalho. Quando os nós têm restrições de recursos, os pods de gateway de rede podem ser despejados. Este comportamento é particularmente prejudicial para o ang-node DaemonSet, uma vez que esses pods têm de ser agendados num nó específico e não podem migrar.

Solução alternativa:

Atualize para a versão 1.15 ou posterior.

Como solução a curto prazo, pode atribuir manualmente uma PriorityClass aos componentes do Anthos Network Gateway. O controlador do Google Distributed Cloud substitui estas alterações manuais durante um processo de conciliação, como durante uma atualização do cluster.

• Atribua o system-cluster-critical PriorityClass ao cluster ang-controller-manager e às implementações do controlador autoscaler.
• Atribua a system-node-critical PriorityClass ao DaemonSet do nó ang-daemon.

A atualização do cluster de administrador falha após o registo do cluster com o gcloud

Depois de usar gcloud para registar um cluster de administrador com a secção gkeConnect não vazia, pode ver o seguinte erro ao tentar atualizar o cluster:

failed to register cluster: failed to apply Hub Mem\
bership: Membership API request failed: rpc error: code = InvalidArgument desc = InvalidFieldError for field endpoint.o\
n_prem_cluster.admin_cluster: field cannot be updated

Elimine o espaço de nomes gke-connect:

kubectl delete ns gke-connect --kubeconfig=ADMIN_KUBECONFIG

kubectl get onpremadmincluster -n kube-system --kubeconfig=ADMIN_KUBECONFIG

gcloud container fleet memberships delete ADMIN_CLUSTER_NAME

O gkectl diagnose snapshot --log-since não consegue limitar o período para os comandos journalctl executados nos nós do cluster

Isto não afeta a funcionalidade de tirar uma captura instantânea do cluster, uma vez que a captura instantânea continua a incluir todos os registos recolhidos por predefinição através da execução de journalctl nos nós do cluster. Por conseguinte, não perde informações de depuração.

gkectl prepare windows falha

A instalação do Docker no Google Distributed Cloud falha nas versões anteriores à 1.13 porque o MicrosoftDockerProvider está obsoleto.gkectl prepare windows

Solução alternativa:

A ideia geral para contornar este problema é atualizar para o Google Distributed Cloud 1.13 e usar a versão 1.13 gkectl para criar um modelo de VM do Windows e, em seguida, criar pools de nós do Windows. Existem duas opções para aceder ao Google Distributed Cloud 1.13 a partir da sua versão atual, conforme mostrado abaixo.

Nota: temos opções para contornar este problema na sua versão atual sem ter de atualizar até à versão 1.13, mas são necessários mais passos manuais. Contacte a nossa equipa de apoio técnico se quiser considerar esta opção.

Opção 1: atualização azul/verde

Pode criar um novo cluster com a versão 1.13 ou superior do Google Distributed Cloud com pools de nós do Windows e migrar as suas cargas de trabalho para o novo cluster e, em seguida, desativar o cluster atual. Recomendamos que use a versão secundária mais recente do Google Distributed Cloud.

Nota: isto requer recursos adicionais para aprovisionar o novo cluster, mas menos tempo de inatividade e interrupções para as cargas de trabalho existentes.

Opção 2: elimine os node pools do Windows e volte a adicioná-los quando atualizar para o Google Distributed Cloud 1.13

Nota: para esta opção, as cargas de trabalho do Windows não podem ser executadas até que o cluster seja atualizado para a versão 1.13 e os conjuntos de nós do Windows sejam adicionados novamente.

1. Elimine os node pools do Windows existentes removendo a configuração dos node pools do Windows do ficheiro user-cluster.yaml e, em seguida, execute o comando:

   gkectl update cluster --kubeconfig=ADMIN_KUBECONFIG --config USER_CLUSTER_CONFIG_FILE

2. Atualize os clusters de administrador e utilizador apenas do Linux para a versão 1.12 seguindo o manual de atualização para a versão secundária de destino correspondente.
3. (Certifique-se de que executa este passo antes de atualizar para a versão 1.13) Certifique-se de que o enableWindowsDataplaneV2: true está configurado no CR OnPremUserCluster. Caso contrário, o cluster vai continuar a usar o Docker para os conjuntos de nós do Windows, que não são compatíveis com o modelo de VM do Windows 1.13 recém-criado que não tem o Docker instalado. Se não estiver configurada ou estiver definida como falsa, atualize o cluster para a definir como verdadeira em user-cluster.yaml e, em seguida, execute:

   gkectl update cluster --kubeconfig=ADMIN_KUBECONFIG --config USER_CLUSTER_CONFIG_FILE

4. Atualize os clusters de administrador e utilizador apenas do Linux para a versão 1.13 seguindo o guia de atualização.
5. Prepare o modelo de VM do Windows com o gkectl 1.13:

   gkectl prepare windows --base-vm-template BASE_WINDOWS_VM_TEMPLATE_NAME --bundle-path 1.13_BUNDLE_PATH --kubeconfig=ADMIN_KUBECONFIG

6. Adicione novamente a configuração do node pool do Windows ao user-cluster.yaml com o campo OSImage definido para o modelo de VM do Windows recém-criado.
7. Atualize o cluster para adicionar node pools do Windows

   gkectl update cluster --kubeconfig=ADMIN_KUBECONFIG --config USER_CLUSTER_CONFIG_FILE

A configuração de RootDistanceMaxSec não está a ter efeito para ubuntu nós

O valor predefinido de 5 segundos para RootDistanceMaxSec vai ser usado nos nós, em vez de 20 segundos, que deve ser a configuração esperada. Se verificar o registo de arranque do nó através de SSH na VM, que se encontra em `/var/log/startup.log`, pode encontrar o seguinte erro:

+ has_systemd_unit systemd-timesyncd
/opt/bin/master.sh: line 635: has_systemd_unit: command not found

A utilização de 5 segundos RootDistanceMaxSec pode fazer com que o relógio do sistema fique dessincronizado com o servidor NTP quando o desvio do relógio for superior a 5 segundos.

Solução alternativa:

Aplique o seguinte DaemonSet ao seu cluster para configurar o RootDistanceMaxSec:

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: change-root-distance
  namespace: kube-system
spec:
  selector:
    matchLabels:
      app: change-root-distance
  template:
    metadata:
      labels:
        app: change-root-distance
    spec:
      hostIPC: true
      hostPID: true
      tolerations:
      # Make sure pods gets scheduled on all nodes.
      - effect: NoSchedule
        operator: Exists
      - effect: NoExecute
        operator: Exists
      containers:
      - name: change-root-distance
        image: ubuntu
        command: ["chroot", "/host", "bash", "-c"]
        args:
        - |
          while true; do
            conf_file="/etc/systemd/timesyncd.conf.d/90-gke.conf"
            if [ -f $conf_file ] && $(grep -q "RootDistanceMaxSec=20" $conf_file); then
              echo "timesyncd has the expected RootDistanceMaxSec, skip update"
            else
              echo "updating timesyncd config to RootDistanceMaxSec=20"
              mkdir -p /etc/systemd/timesyncd.conf.d
              cat > $conf_file << EOF
          [Time]
          RootDistanceMaxSec=20
          EOF
              systemctl restart systemd-timesyncd
            fi
            sleep 600
          done
        volumeMounts:
        - name: host
          mountPath: /host
        securityContext:
          privileged: true
      volumes:
      - name: host
        hostPath:
          path: /

gkectl update admin falha devido ao campo osImageType vazio

Quando usa a versão 1.13 gkectl para atualizar um cluster de administrador da versão 1.12, pode ver o seguinte erro:

Failed to update the admin cluster: updating OS image type in admin cluster
is not supported in "1.12.x-gke.x"

Quando usa gkectl update admin para clusters da versão 1.13 ou 1.14, pode ver a seguinte mensagem na resposta:

Exit with error:
Failed to update the cluster: the update contains multiple changes. Please
update only one feature at a time

Se verificar o registo gkectl, pode ver que as várias alterações incluem a definição de osImageType de uma string vazia para ubuntu_containerd.

Estes erros de atualização devem-se ao preenchimento incorreto do campo osImageType na configuração do cluster de administração, uma vez que foi introduzido na versão 1.9.

Solução alternativa:

Atualize para uma versão do Google Distributed Cloud com a correção. Se a atualização não for viável para si, contacte o apoio ao cliente do Google Cloud para resolver este problema.

O SNI não funciona em clusters de utilizadores com o Controlplane V2

A capacidade de fornecer um certificado de publicação adicional para o servidor da API Kubernetes de um cluster de utilizador com authentication.sni não funciona quando o Controlplane V2 está ativado ( enableControlplaneV2: true).

Solução alternativa:

Até que esteja disponível um patch do Google Distributed Cloud com a correção, se precisar de usar o SNI, desative o Controlplane V2 (enableControlplaneV2: false).

$ no nome de utilizador do registo privado causa uma falha no arranque da máquina do plano de controlo do administrador

A máquina do plano de controlo do administrador não é iniciada quando o nome de utilizador do registo privado contém $. Quando verifica o /var/log/startup.log na máquina do plano de controlo do administrador, vê o seguinte erro:

++ REGISTRY_CA_CERT=xxx
++ REGISTRY_SERVER=xxx
/etc/startup/startup.conf: line 7: anthos: unbound variable

Solução alternativa:

Use um nome de utilizador do registo privado sem $ ou use uma versão do Google Distributed Cloud com a correção.

Avisos de falsos positivos sobre alterações não suportadas durante a atualização do cluster de administrador

Quando atualiza os clusters de administrador, vê os seguintes avisos de falsos positivos no registo, que pode ignorar.

    console.go:47] detected unsupported changes: &v1alpha1.OnPremAdminCluster{
      ...
      -         CARotation:        &v1alpha1.CARotationConfig{Generated: &v1alpha1.CARotationGenerated{CAVersion: 1}},
      +         CARotation:        nil,
      ...
    }

A atualização do cluster de utilizadores falhou após a rotação da chave de assinatura da KSA

Depois de rodar as chaves de assinatura da KSA e, posteriormente, atualizar um cluster de utilizadores, o gkectl update pode falhar com a seguinte mensagem de erro:

Failed to apply OnPremUserCluster 'USER_CLUSTER_NAME-gke-onprem-mgmt/USER_CLUSTER_NAME':
admission webhook "vonpremusercluster.onprem.cluster.gke.io" denied the request:
requests must not decrement *v1alpha1.KSASigningKeyRotationConfig Version, old version: 2, new version: 1"

Solução alternativa:

1. Verifique o segredo no cluster de administrador no espaço de nomes USER_CLUSTER_NAME e obtenha o nome do segredo ksa-signing-key:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME get secrets | grep ksa-signing-key

2. Copie o segredo da chave de assinatura da KSA e atribua o nome service-account-cert ao segredo copiado:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME get secret KSA-KEY-SECRET-NAME -oyaml | \
   sed 's/ name: .*/ name: service-account-cert/' | \
   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME apply -f -

3. Elimine o segredo da chave de assinatura ksa anterior:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME delete secret KSA-KEY-SECRET-NAME

4. Atualize o campo data.data no configmap ksa-signing-key-rotation-stage para '{"tokenVersion":1,"privateKeyVersion":1,"publicKeyVersions":[1]}':

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME \
   edit configmap ksa-signing-key-rotation-stage

5. Desative o webhook de validação para editar as informações da versão no recurso personalizado OnPremUserCluster:

   kubectl --kubeconfig=ADMIN_KUBECONFIG patch validatingwebhookconfiguration onprem-user-cluster-controller -p '
   webhooks:
   - name: vonpremnodepool.onprem.cluster.gke.io
     rules:
     - apiGroups:
       - onprem.cluster.gke.io
       apiVersions:
       - v1alpha1
       operations:
       - CREATE
       resources:
       - onpremnodepools
   - name: vonpremusercluster.onprem.cluster.gke.io
     rules:
     - apiGroups:
       - onprem.cluster.gke.io
       apiVersions:
       - v1alpha1
       operations:
       - CREATE
       resources:
       - onpremuserclusters
   '

6. Atualize o campo spec.ksaSigningKeyRotation.generated.ksaSigningKeyRotation para 1 no recurso personalizado OnPremUserCluster:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME-gke-onprem-mgmt \
   edit onpremusercluster USER_CLUSTER_NAME

7. Aguarde até o cluster de utilizadores de destino estar pronto. Pode verificar o estado da seguinte forma:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME-gke-onprem-mgmt \
   get onpremusercluster

8. Restaure o webhook de validação para o cluster de utilizadores:

   kubectl --kubeconfig=ADMIN_KUBECONFIG patch validatingwebhookconfiguration onprem-user-cluster-controller -p '
   webhooks:
   - name: vonpremnodepool.onprem.cluster.gke.io
     rules:
     - apiGroups:
       - onprem.cluster.gke.io
       apiVersions:
       - v1alpha1
       operations:
       - CREATE
       - UPDATE
       resources:
       - onpremnodepools
   - name: vonpremusercluster.onprem.cluster.gke.io
     rules:
     - apiGroups:
       - onprem.cluster.gke.io
       apiVersions:
       - v1alpha1
       operations:
       - CREATE
       - UPDATE
       resources:
       - onpremuserclusters
   '

9. Evite outra rotação da chave de assinatura da KSA até o cluster ser atualizado para a versão com a correção.

Os servidores virtuais F5 BIG-IP não são limpos quando o Terraform elimina clusters de utilizadores

Quando usa o Terraform para eliminar um cluster de utilizadores com um balanceador de carga F5 BIG-IP, os servidores virtuais F5 BIG-IP não são removidos após a eliminação do cluster.

Solução alternativa:

Para remover os recursos do F5, siga os passos para limpar uma partição do F5 de um cluster de utilizadores

O cluster kind extrai imagens de contentores de docker.io

Se criar um cluster de administrador da versão 1.13.8 ou 1.14.4, ou atualizar um cluster de administrador para a versão 1.13.8 ou 1.14.4, o cluster kind extrai as seguintes imagens de contentores de docker.io:

Se docker.io não estiver acessível a partir da sua estação de trabalho de administrador, a criação ou a atualização do cluster de administrador não consegue apresentar o cluster do tipo. A execução do seguinte comando na estação de trabalho de administração mostra os contentores pendentes correspondentes com ErrImagePull:

docker exec gkectl-control-plane kubectl get pods -A

A resposta contém entradas como as seguintes:

...
kube-system         kindnet-xlhmr                             0/1
    ErrImagePull  0    3m12s
...
local-path-storage  local-path-provisioner-86666ffff6-zzqtp   0/1
    Pending       0    3m12s
...

Estas imagens de contentores devem ser pré-carregadas na imagem do contentor do cluster do tipo. No entanto, o kind v0.18.0 tem um problema com as imagens de contentores pré-carregadas, o que faz com que sejam extraídas da Internet por engano.

Solução alternativa:

Execute os seguintes comandos na estação de trabalho do administrador enquanto o cluster de administrador estiver pendente de criação ou atualização:

docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/kindnetd:v20230330-48f316cd@sha256:c19d6362a6a928139820761475a38c24c0cf84d507b9ddf414a078cf627497af docker.io/kindest/kindnetd:v20230330-48f316cd
docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/kindnetd:v20230330-48f316cd@sha256:c19d6362a6a928139820761475a38c24c0cf84d507b9ddf414a078cf627497af docker.io/kindest/kindnetd@sha256:c19d6362a6a928139820761475a38c24c0cf84d507b9ddf414a078cf627497af

docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/local-path-helper:v20230330-48f316cd@sha256:135203f2441f916fb13dad1561d27f60a6f11f50ec288b01a7d2ee9947c36270 docker.io/kindest/local-path-helper:v20230330-48f316cd
docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/local-path-helper:v20230330-48f316cd@sha256:135203f2441f916fb13dad1561d27f60a6f11f50ec288b01a7d2ee9947c36270 docker.io/kindest/local-path-helper@sha256:135203f2441f916fb13dad1561d27f60a6f11f50ec288b01a7d2ee9947c36270

docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/local-path-provisioner:v0.0.23-kind.0@sha256:f2d0a02831ff3a03cf51343226670d5060623b43a4cfc4808bd0875b2c4b9501 docker.io/kindest/local-path-provisioner:v0.0.23-kind.0
docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/local-path-provisioner:v0.0.23-kind.0@sha256:f2d0a02831ff3a03cf51343226670d5060623b43a4cfc4808bd0875b2c4b9501 docker.io/kindest/local-path-provisioner@sha256:f2d0a02831ff3a03cf51343226670d5060623b43a4cfc4808bd0875b2c4b9501

Comutação por falha sem êxito no cluster de utilizador e no cluster de administrador do plano de controlo de HA V2 quando a rede filtra pedidos GARP duplicados

Se as VMs do cluster estiverem ligadas a um comutador que filtra pedidos GARP (ARP gratuito) duplicados, a eleição do líder do keepalived pode encontrar uma condição de corrida, o que faz com que alguns nós tenham entradas incorretas na tabela ARP.

Os nós afetados podem ping o VIP do plano de controlo, mas uma ligação TCP ao VIP do plano de controlo vai atingir o limite de tempo.

Solução alternativa:

    iptables -I FORWARD -i ens192 --destination CONTROL_PLANE_VIP -j DROP
    

O vsphere-csi-controller tem de ser reiniciado após a rotação do certificado do vCenter

vsphere-csi-controller deve atualizar o respetivo segredo do vCenter após a rotação do certificado do vCenter. No entanto, o sistema atual não reinicia corretamente os pods de vsphere-csi-controller, o que faz com que vsphere-csi-controller falhe após a rotação.

Solução alternativa:

Para clusters criados na versão 1.13 e posteriores, siga as instruções abaixo para reiniciar o vsphere-csi-controller

kubectl --kubeconfig=ADMIN_KUBECONFIG rollout restart deployment vsphere-csi-controller -n kube-system

A criação do cluster de administrador não falha devido a erros de registo do cluster

Mesmo quando o registo do cluster falha durante a criação do cluster de administrador, o comando gkectl create admin não falha no erro e pode ter êxito. Por outras palavras, a criação do cluster de administrador pode "ter êxito" sem estar registada numa frota.

Failed to register admin cluster

Também pode verificar se consegue encontrar o cluster entre os clusters registados na consola da nuvem.

Solução alternativa:

Para clusters criados nas versões 1.12 e posteriores, siga as instruções para tentar novamente o registo do cluster de administrador após a criação do cluster. Para clusters criados em versões anteriores:

1. Anexe um par de chave-valor falso, como "foo: bar", ao ficheiro de chave de SA connect-register
2. Execute gkectl update admin para voltar a registar o cluster de administrador.

O registo do cluster de administrador pode ser ignorado durante a atualização do cluster de administrador

Durante a atualização do cluster de administrador, se a atualização dos nós do plano de controlo do utilizador exceder o tempo limite, o cluster de administrador não é registado novamente com a versão atualizada do agente Connect.

Solução alternativa:

1. Anexe um par de chave-valor falso, como "foo: bar", ao ficheiro de chave de SA connect-register
2. Execute gkectl update admin para voltar a registar o cluster de administrador.

Mensagem de erro falsa sobre vCenter.dataDisk

Para um cluster de administrador de alta disponibilidade, o comando gkectl prepare mostra esta mensagem de erro falsa:

vCenter.dataDisk must be present in the AdminCluster spec

Solução alternativa:

Pode ignorar esta mensagem de erro com segurança.

A criação do node pool falha devido a regras de afinidade de anfitrião de VM redundantes

Durante a criação de um conjunto de nós que usa a afinidade VM-anfitrião, pode ocorrer uma condição de concorrência que resulte na criação de várias regras de afinidade VM-anfitrião com o mesmo nome. Isto pode fazer com que a criação do node pool falhe.

Solução alternativa:

Remova as regras redundantes antigas para que a criação do node pool possa prosseguir. Estas regras têm o nome [USER_CLUSTER_NAME]-[HASH].

A gkectl repair admin-master pode falhar devido a failed to delete the admin master node object and reboot the admin master VM

O comando gkectl repair admin-master pode falhar devido a uma condição de corrida com o seguinte erro.

Failed to repair: failed to delete the admin master node object and reboot the admin master VM

Solução alternativa:

Este comando é idempotente. Pode ser executado novamente em segurança até que o comando seja bem-sucedido.

Os pods permanecem no estado Failed após a recriação ou a atualização de um nó do plano de controlo

Depois de recriar ou atualizar um nó do plano de controlo, determinados pods podem ficar no estado Failed devido a uma falha do predicado NodeAffinity. Estes pods com falhas não afetam o funcionamento normal nem o estado do cluster.

Solução alternativa:

Pode ignorar com segurança os pods com falhas ou eliminá-los manualmente.

OnPremUserCluster não está pronto devido às credenciais do registo privado

Se usar credenciais preparadas e um registo privado, mas não tiver configurado credenciais preparadas para o seu registo privado, o OnPremUserCluster pode não ficar pronto e pode ver a seguinte mensagem de erro:

failed to check secret reference for private registry …

Solução alternativa:

Prepare as credenciais do registo privado para o cluster de utilizadores de acordo com as instruções em Configure credenciais preparadas.

gkectl upgrade admin falha com StorageClass standard sets the parameter diskformat which is invalid for CSI Migration

Durante a gkectl upgrade admin, a verificação prévia do armazenamento para a migração de CSI verifica se as StorageClasses não têm parâmetros que são ignorados após a migração de CSI. Por exemplo, se existir uma StorageClass com o parâmetro diskformat, então gkectl upgrade admin marca a StorageClass e comunica uma falha na validação prévia. Os clusters de administrador criados no Google Distributed Cloud 1.10 e versões anteriores têm uma StorageClass com diskformat: thin que falha esta validação. No entanto, esta StorageClass continua a funcionar bem após a migração do CSI. Em alternativa, estas falhas devem ser interpretadas como avisos.

Para mais informações, consulte a secção de parâmetros StorageClass em Migrar volumes vSphere no kernel para o plug-in de armazenamento de contentores vSphere.

Solução alternativa:

Depois de confirmar que o cluster tem uma StorageClass com parâmetros ignorados após a migração do CSI execute gkectl upgrade admin com a flag --skip-validation-cluster-health.

Não é possível usar volumes vSphere no sistema usando o sistema de ficheiros do Windows com o controlador CSI do vSphere

Em determinadas condições, os discos podem ser anexados como só de leitura a nós do Windows. Isto resulta no volume correspondente ser apenas de leitura num pod. Este problema tem maior probabilidade de ocorrer quando um novo conjunto de nós substitui um conjunto de nós antigo (por exemplo, atualização do cluster ou atualização do node pool). As cargas de trabalho com estado que funcionavam bem anteriormente podem não conseguir escrever nos respetivos volumes no novo conjunto de nós.

Solução alternativa:

1. Obtenha o UID do pod que não consegue escrever no respetivo volume:

   kubectl --kubeconfig USER_CLUSTER_KUBECONFIG get pod \
       POD_NAME --namespace POD_NAMESPACE \
       -o=jsonpath='{.metadata.uid}{"\n"}'

2. Use o PersistentVolumeClaim para obter o nome do PersistentVolume:

   kubectl --kubeconfig USER_CLUSTER_KUBECONFIG get pvc \
       PVC_NAME --namespace POD_NAMESPACE \
       -o jsonpath='{.spec.volumeName}{"\n"}'

3. Determine o nome do nó onde o pod está a ser executado:

   kubectl --kubeconfig USER_CLUSTER_KUBECONFIGget pods \
       --namespace POD_NAMESPACE \
       -o jsonpath='{.spec.nodeName}{"\n"}'

4. Obtenha acesso ao PowerShell no nó através de SSH ou da interface Web do vSphere.
5. Defina variáveis de ambiente:

   PS C:\Users\administrator> pvname=PV_NAME
   PS C:\Users\administrator> podid=POD_UID

6. Identifique o número do disco associado ao PersistentVolume:

   PS C:\Users\administrator> disknum=(Get-Partition -Volume (Get-Volume -UniqueId ("\\?\"+(Get-Item (Get-Item
   "C:\var\lib\kubelet\pods\$podid\volumes\kubernetes.io~csi\$pvname\mount").Target).Target))).DiskNumber

7. Confirme se o disco está readonly:

   PS C:\Users\administrator> (Get-Disk -Number $disknum).IsReadonly

   O resultado deve ser True.
8. Defina readonly como false.

   PS C:\Users\administrator> Set-Disk -Number $disknum -IsReadonly $false
   PS C:\Users\administrator> (Get-Disk -Number $disknum).IsReadonly

9. Elimine o Pod para que seja reiniciado:

   kubectl --kubeconfig USER_CLUSTER_KUBECONFIG delete pod POD_NAME \
       --namespace POD_NAMESPACE

10. O pod deve ser agendado para o mesmo nó. No entanto, caso o pod seja agendado para um novo nó, pode ter de repetir os passos anteriores no novo nó.

vsphere-csi-secret não é atualizado após gkectl update credentials vsphere --admin-cluster

Se atualizar as credenciais do vSphere para um cluster de administrador após atualizar as credenciais do cluster, pode verificar que vsphere-csi-secret no espaço de nomes kube-system no cluster de administrador continua a usar a credencial antiga.

Solução alternativa:

1. Obtenha o nome do Secret vsphere-csi-secret:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=kube-system get secrets | grep vsphere-csi-secret

2. Atualize os dados da chave secreta vsphere-csi-secret que obteve no passo acima:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=kube-system patch secret CSI_SECRET_NAME -p \
     "{\"data\":{\"config\":\"$( \
       kubectl --kubeconfig=ADMIN_KUBECONFIG -n=kube-system get secrets CSI_SECRET_NAME -ojsonpath='{.data.config}' \
         | base64 -d \
         | sed -e '/user/c user = \"VSPHERE_USERNAME_TO_BE_UPDATED\"' \
         | sed -e '/password/c password = \"VSPHERE_PASSWORD_TO_BE_UPDATED\"' \
         | base64 -w 0 \
       )\"}}"

3. Reiniciar vsphere-csi-controller:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=kube-system rollout restart deployment vsphere-csi-controller

4. Pode acompanhar o estado da implementação com:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=kube-system rollout status deployment vsphere-csi-controller

   Após a implementação ser implementada com êxito, o controlador deve usar o vsphere-csi-secret atualizado.

audit-proxy crashloop quando ativa os registos de auditoria da nuvem com gkectl update cluster

O audit-proxy pode entrar em ciclo de falhas devido a --cluster-name vazios. Este comportamento é causado por um erro na lógica de atualização, em que o nome do cluster não é propagado para o manifesto do pod / contentor audit-proxy.

Solução alternativa:

Para um cluster de utilizadores do plano de controlo v2 com enableControlplaneV2: true, ligue-se à máquina do plano de controlo do utilizador através de SSH e atualize /etc/kubernetes/manifests/audit-proxy.yaml com --cluster_name=USER_CLUSTER_NAME.

Para um cluster de utilizador do plano de controlo v1, edite o contentor audit-proxy no conjunto com estado kube-apiserver para adicionar --cluster_name=USER_CLUSTER_NAME:

kubectl edit statefulset kube-apiserver -n USER_CLUSTER_NAME --kubeconfig=ADMIN_CLUSTER_KUBECONFIG

Uma nova implementação do plano de controlo imediatamente após gkectl upgrade cluster

Imediatamente após gkectl upgrade cluster, os pods do plano de controlo podem ser implementados novamente. O estado do cluster de gkectl list clusters foi alterado de RUNNING para RECONCILING. Os pedidos ao cluster de utilizadores podem exceder o limite de tempo.

Este comportamento deve-se ao facto de a rotação do certificado do plano de controlo ocorrer automaticamente após gkectl upgrade cluster.

Este problema só acontece com clusters de utilizadores que NÃO usam o plano de controlo v2.

Solução alternativa:

Aguarde que o estado do cluster volte a mudar para RUNNING em gkectl list clusters ou atualize para versões com a correção: 1.13.6+, 1.14.2+ ou 1.15+.

A versão incorreta 1.12.7-gke.19 foi removida

O Google Distributed Cloud 1.12.7-gke.19 é uma versão má e não deve usá-la. Os artefactos foram removidos do contentor do Cloud Storage.

Solução alternativa:

Em alternativa, use a versão 1.12.7-gke.20.

gke-connect-agent continua a usar a imagem mais antiga após a atualização das credenciais do registo

Se atualizar a credencial de registo através de um dos seguintes métodos:

• gkectl update credentials componentaccess se não usar o registo privado
• gkectl update credentials privateregistry se usar o registo privado

pode verificar que o gke-connect-agent continua a usar a imagem mais antiga ou que os pods do gke-connect-agent não podem ser apresentados devido a ImagePullBackOff.

Este problema vai ser corrigido nas versões 1.13.8, 1.14.4 e subsequentes do Google Distributed Cloud.

Solução alternativa:

Opção 1: reimplemente o gke-connect-agent manualmente:

1. Elimine o espaço de nomes gke-connect:

   kubectl --kubeconfig=KUBECONFIG delete namespace gke-connect

2. Volte a implementar gke-connect-agent com a chave da conta de serviço de registo original (não é necessário atualizar a chave):
   Para o cluster de administração:

   gkectl update credentials register --kubeconfig=ADMIN_CLUSTER_KUBECONFIG --config ADMIN_CLUSTER_CONFIG_FILE --admin-cluster

   Para o cluster de utilizadores:

   gkectl update credentials register --kubeconfig=ADMIN_CLUSTER_KUBECONFIG --config USER_CLUSTER_CONFIG_FILE

Opção 2: pode alterar manualmente os dados do segredo de obtenção de imagens regcred que é usado pela implementação gke-connect-agent:

kubectl --kubeconfig=KUBECONFIG -n=gke-connect patch secrets regcred -p "{\"data\":{\".dockerconfigjson\":\"$(kubectl --kubeconfig=KUBECONFIG -n=kube-system get secrets private-registry-creds -ojsonpath='{.data.\.dockerconfigjson}')\"}}"

Opção 3: pode adicionar o segredo de obtenção de imagens predefinido para o seu cluster na implementação gke-connect-agent da seguinte forma:

1. Copie o segredo predefinido para o espaço de nomes gke-connect:

   kubectl --kubeconfig=KUBECONFIG -n=kube-system get secret private-registry-creds -oyaml | sed 's/ namespace: .*/ namespace: gke-connect/' | kubectl --kubeconfig=KUBECONFIG -n=gke-connect apply -f -

2. Obtenha o gke-connect-agentnome da implementação:

   kubectl --kubeconfig=KUBECONFIG -n=gke-connect get deployment | grep gke-connect-agent

3. Adicione o segredo predefinido à implementação do gke-connect-agent:

   kubectl --kubeconfig=KUBECONFIG -n=gke-connect patch deployment DEPLOYMENT_NAME -p '{"spec":{"template":{"spec":{"imagePullSecrets": [{"name": "private-registry-creds"}, {"name": "regcred"}]}}}}'

Falha na verificação da configuração manual do LB

Quando valida a configuração antes de criar um cluster com o balanceador de carga manual executando gkectl check-config, o comando falha com as seguintes mensagens de erro.

 - Validation Category: Manual LB    Running validation check for "Network
configuration"...panic: runtime error: invalid memory address or nil pointer
dereference

Solução alternativa:

Opção 1: pode usar a versão de patch 1.13.7 e 1.14.4 que inclui a correção.

Opção 2: também pode executar o mesmo comando para validar a configuração, mas ignorar a validação do equilibrador de carga.

gkectl check-config --skip-validation-load-balancer

etcd watch starvation

Os clusters que executam a versão 3.4.13 ou anterior do etcd podem sofrer de falta de recursos de observação e observações de recursos não operacionais, o que pode originar os seguintes problemas:

• O agendamento de pods está interrompido
• Os nós não conseguem registar-se
• O kubelet não observa as alterações dos pods

Estes problemas podem tornar o cluster não funcional.

Este problema foi corrigido nas versões 1.12.7, 1.13.6, 1.14.3 e posteriores do Google Distributed Cloud. Estas versões mais recentes usam a versão 3.4.21 do etcd. Todas as versões anteriores do Google Distributed Cloud são afetadas por este problema.

Solução alternativa

Se não puder atualizar imediatamente, pode mitigar o risco de falha do cluster reduzindo o número de nós no cluster. Remova nós até que a métrica etcd_network_client_grpc_sent_bytes_total seja inferior a 300 MBps.

Para ver esta métrica no Explorador de métricas:

1. Aceda ao Explorador de métricas na Google Cloud consola:

   Aceda ao Metrics Explorer

2. Selecione o separador Configuração.
3. Expanda Selecionar uma métrica, introduza Kubernetes Container na barra de filtros e, de seguida, use os submenus para selecionar a métrica:
   1. No menu Recursos ativos, selecione Recipiente do Kubernetes.
   2. No menu Categorias de métricas ativas, selecione Anthos.
   3. No menu Métricas ativas, selecione etcd_network_client_grpc_sent_bytes_total.
   4. Clique em Aplicar.

O GKE Identity Service pode causar latências do plano de controlo

Em reinícios ou atualizações de clusters, o GKE Identity Service pode ficar sobrecarregado com tráfego composto por tokens JWT expirados encaminhados do kube-apiserver para o GKE Identity Service através do webhook de autenticação. Embora o GKE Identity Service não entre em crashloop, deixa de responder e deixa de processar pedidos adicionais. Este problema acaba por levar a latências mais elevadas do plano de controlo.

Este problema está corrigido nas seguintes versões do Google Distributed Cloud:

• 1.12.6+
• 1.13.6+
• 1.14.2+

Para determinar se é afetado por este problema, siga estes passos:

1. Verifique se é possível aceder externamente ao ponto final do serviço de identidade do GKE:

   curl -s -o /dev/null -w "%{http_code}" \
       -X POST https://CLUSTER_ENDPOINT/api/v1/namespaces/anthos-identity-service/services/https:ais:https/proxy/authenticate -d '{}'

   Substitua CLUSTER_ENDPOINT pelo VIP do plano de controlo e pela porta do balanceador de carga do plano de controlo do seu cluster (por exemplo, 172.16.20.50:443).

   Se for afetado por este problema, o comando devolve um código de estado 400. Se o pedido expirar, reinicie o ais Pod e volte a executar o comando curl para ver se isso resolve o problema. Se receber um código de estado 000, o problema foi resolvido e não tem de fazer mais nada. Se continuar a receber um código de estado 400, o servidor HTTP do serviço de identidade do GKE não está a ser iniciado. Neste caso, continue.

2. Verifique os registos do serviço de identidade do GKE e do kube-apiserver:
   1. Verifique o registo do GKE Identity Service:

      kubectl logs -f -l k8s-app=ais -n anthos-identity-service \
          --kubeconfig KUBECONFIG

      Se o registo contiver uma entrada semelhante à seguinte, significa que é afetado por este problema:

      I0811 22:32:03.583448      32 authentication_plugin.cc:295] Stopping OIDC authentication for ???. Unable to verify the OIDC ID token: JWT verification failed: The JWT does not appear to be from this identity provider. To match this provider, the 'aud' claim must contain one of the following audiences:

   2. Verifique os registos kube-apiserver dos seus clusters:

      Nos comandos seguintes, KUBE_APISERVER_POD é o nome do kube-apiserver Pod no cluster especificado.

      Cluster de administrador:

      kubectl --kubeconfig ADMIN_KUBECONFIG logs \
          -n kube-system KUBE_APISERVER_POD kube-apiserver

      Cluster de utilizadores:

      kubectl --kubeconfig ADMIN_KUBECONFIG logs \
          -n USER_CLUSTER_NAME KUBE_APISERVER_POD kube-apiserver

      Se os registos kube-apiserver contiverem entradas semelhantes às seguintes, significa que é afetado por este problema:

      E0811 22:30:22.656085       1 webhook.go:127] Failed to make webhook authenticator request: error trying to reach service: net/http: TLS handshake timeout
      E0811 22:30:22.656266       1 authentication.go:63] "Unable to authenticate the request" err="[invalid bearer token, error trying to reach service: net/http: TLS handshake timeout]"

Solução alternativa

Se não conseguir atualizar imediatamente os clusters para obter a correção, pode identificar e reiniciar os pods ofensivos como solução alternativa:

1. Aumente o nível de detalhe do serviço de identidade do GKE para 9:

   kubectl patch deployment ais -n anthos-identity-service --type=json \
       -p='[{"op": "add", "path": "/spec/template/spec/containers/0/args/-", \
       "value":"--vmodule=cloud/identity/hybrid/charon/*=9"}]' \
       --kubeconfig KUBECONFIG

2. Verifique o registo do serviço de identidade do GKE para ver o contexto do token inválido:

   kubectl logs -f -l k8s-app=ais -n anthos-identity-service \
       --kubeconfig KUBECONFIG

3. Para obter a carga útil do token associada a cada contexto de token inválido, analise cada segredo da conta de serviço relacionada com o seguinte comando:

   kubectl -n kube-system get secret SA_SECRET \
       --kubeconfig KUBECONFIG \
       -o jsonpath='{.data.token}' | base64 --decode

4. Para descodificar o token e ver o nome e o espaço de nomes do pod de origem, copie o token para o depurador em jwt.io.
5. Reinicie os pods identificados a partir dos tokens.

O problema de aumento da utilização de memória dos pods etcd-maintenance

Os pods de manutenção do etcd que usam a imagem etcddefrag:gke_master_etcddefrag_20210211.00_p0 são afetados. O contentor `etcddefrag` abre uma nova ligação ao servidor etcd durante cada ciclo de desfragmentação e as ligações antigas não são limpas.

Solução alternativa:

Opção 1: atualize para a versão de patch mais recente de 1.8 para 1.11, que contém a correção.

Opção 2: se estiver a usar uma versão de patch anterior a 1.9.6 e 1.10.3, tem de reduzir o pod etcd-maintenance para o cluster de administrador e de utilizador:

kubectl scale --replicas 0 deployment/gke-master-etcd-maintenance -n USER_CLUSTER_NAME --kubeconfig ADMIN_CLUSTER_KUBECONFIG
kubectl scale --replicas 0 deployment/gke-master-etcd-maintenance -n kube-system --kubeconfig ADMIN_CLUSTER_KUBECONFIG

Perder as verificações de funcionamento dos pods do plano de controlo do cluster de utilizadores

O controlador de funcionamento do cluster e o comando gkectl diagnose cluster executam um conjunto de verificações de funcionamento, incluindo as verificações de funcionamento dos pods em todos os espaços de nomes. No entanto, começam a ignorar os pods do plano de controlo do utilizador por engano. Se usar o modo de plano de controlo v2, isto não afeta o seu cluster.

Solução alternativa:

Isto não afeta nenhuma gestão de carga de trabalho ou cluster. Se quiser verificar o estado dos pods do plano de controlo, pode executar os seguintes comandos:

kubectl get pods -owide -n USER_CLUSTER_NAME --kubeconfig ADMIN_CLUSTER_KUBECONFIG

As atualizações do cluster de administrador 1.6 e 1.7 podem ser afetadas pelo redirecionamento k8s.gcr.io -> registry.k8s.io

O Kubernetes redirecionou o tráfego de k8s.gcr.io para registry.k8s.io a 20/03/2023. No Google Distributed Cloud 1.6.x e 1.7.x, as atualizações do cluster de administrador usam a imagem do contentor k8s.gcr.io/pause:3.2. Se usar um proxy para a sua estação de trabalho de administrador e o proxy não permitir registry.k8s.io e a imagem do contentor k8s.gcr.io/pause:3.2 não estiver em cache localmente, as atualizações do cluster de administrador falham ao extrair a imagem do contentor.

Solução alternativa:

Adicione registry.k8s.io à lista de autorizações do proxy para a sua estação de trabalho de administrador.

Falha na validação do Seesaw na criação do balanceador de carga

gkectl create loadbalancer falha com a seguinte mensagem de erro:

- Validation Category: Seesaw LB - [FAILURE] Seesaw validation: xxx cluster lb health check failed: LB"xxx.xxx.xxx.xxx" is not healthy: Get "http://xxx.xxx.xxx.xxx:xxx/healthz": dial tcpxxx.xxx.xxx.xxx:xxx: connect: no route to host

Isto deve-se ao facto de o ficheiro do grupo de gangorra já existir. E a verificação prévia tenta validar um balanceador de carga do Seesaw inexistente.

Solução alternativa:

Remova o ficheiro do grupo de gangorra existente para este cluster. O nome do ficheiro é seesaw-for-gke-admin.yaml para o cluster de administrador e seesaw-for-{CLUSTER_NAME}.yaml para um cluster de utilizador.

Tempos limite de aplicação causados por falhas de inserção da tabela conntrack

A versão 1.14 do Google Distributed Cloud é suscetível a falhas de inserção na tabela de registo de ligações (conntrack) do netfilter quando usa imagens do sistema operativo Ubuntu ou COS. As falhas de inserção originam limites de tempo aleatórios da aplicação e podem ocorrer mesmo quando a tabela conntrack tem espaço para novas entradas. As falhas são causadas por alterações no kernel 5.15 e superior que restringem as inserções de tabelas com base no comprimento da cadeia.

Para ver se é afetado por este problema, pode verificar as estatísticas do sistema de monitorização de ligações no kernel em cada nó com o seguinte comando:

sudo conntrack -S

A resposta tem o seguinte aspeto:

cpu=0       found=0 invalid=4 insert=0 insert_failed=0 drop=0 early_drop=0 error=0 search_restart=0 clash_resolve=0 chaintoolong=0
cpu=1       found=0 invalid=0 insert=0 insert_failed=0 drop=0 early_drop=0 error=0 search_restart=0 clash_resolve=0 chaintoolong=0
cpu=2       found=0 invalid=16 insert=0 insert_failed=0 drop=0 early_drop=0 error=0 search_restart=0 clash_resolve=0 chaintoolong=0
cpu=3       found=0 invalid=13 insert=0 insert_failed=0 drop=0 early_drop=0 error=0 search_restart=0 clash_resolve=0 chaintoolong=0
cpu=4       found=0 invalid=9 insert=0 insert_failed=0 drop=0 early_drop=0 error=0 search_restart=0 clash_resolve=0 chaintoolong=0
cpu=5       found=0 invalid=1 insert=0 insert_failed=0 drop=0 early_drop=0 error=519 search_restart=0 clash_resolve=126 chaintoolong=0
...

Se um valor chaintoolong na resposta for um número diferente de zero, significa que é afetado por este problema.

Solução alternativa

A mitigação a curto prazo consiste em aumentar o tamanho da tabela de hash do netfilter (nf_conntrack_buckets) e da tabela de acompanhamento de ligações do netfilter (nf_conntrack_max). Use os seguintes comandos em cada nó do cluster para aumentar o tamanho das tabelas:

sysctl -w net.netfilter.nf_conntrack_buckets=TABLE_SIZE
sysctl -w net.netfilter.nf_conntrack_max=TABLE_SIZE

Substitua TABLE_SIZE pelo novo tamanho em bytes. O valor predefinido do tamanho da tabela é 262144. Sugerimos que defina um valor igual a 65 536 vezes o número de núcleos no nó. Por exemplo, se o seu nó tiver oito núcleos, defina o tamanho da tabela como 524288.

Ciclo de falhas de calico-typha ou anetd-operator em nós do Windows com o plano de controlo V2

Com o Controlplane V2 ativado, o calico-typha ou o anetd-operator podem ser agendados para nós do Windows e entrar num ciclo de falhas.

O motivo é que as duas implementações toleram todas as manchas, incluindo a mancha do nó do Windows.

Solução alternativa:

Atualize para a versão 1.13.3 ou superior, ou execute os seguintes comandos para editar a implementação de `calico-typha` ou `anetd-operator`:

    # If dataplane v2 is not used.
    kubectl edit deployment -n kube-system calico-typha --kubeconfig USER_CLUSTER_KUBECONFIG
    # If dataplane v2 is used.
    kubectl edit deployment -n kube-system anetd-operator --kubeconfig USER_CLUSTER_KUBECONFIG
    

Remova os seguintes spec.template.spec.tolerations:

    - effect: NoSchedule
      operator: Exists
    - effect: NoExecute
      operator: Exists
    

E adicione a seguinte tolerância:

    - key: node-role.kubernetes.io/master
      operator: Exists
    

Não é possível carregar o ficheiro de credenciais do registo privado do cluster de utilizadores

Pode não conseguir criar um cluster de utilizadores se especificar a secção privateRegistry com a credencial fileRef. O pré-voo pode falhar com a seguinte mensagem:

[FAILURE] Docker registry access: Failed to login.

Solução alternativa:

• Se não pretendia especificar o campo ou quer usar a mesma credencial do registo privado que o cluster de administrador, pode simplesmente remover ou comentar a secção privateRegistry no ficheiro de configuração do cluster de utilizador.
• Se quiser usar uma credencial de registo privado específica para o seu cluster de utilizadores, pode especificar temporariamente a secção privateRegistry da seguinte forma:

  privateRegistry:
    address: PRIVATE_REGISTRY_ADDRESS
    credentials:
      username: PRIVATE_REGISTRY_USERNAME
      password: PRIVATE_REGISTRY_PASSWORD
    caCertPath: PRIVATE_REGISTRY_CACERT_PATH

  (NOTE: esta é apenas uma correção temporária e estes campos já estão obsoletos. Considere usar o ficheiro de credenciais quando atualizar para a versão 1.14.3 ou superior.)

O Cloud Service Mesh e outras malhas de serviço não são compatíveis com o Dataplane v2

O plano de dados V2 assume o equilíbrio de carga e cria um socket do kernel em vez de um DNAT baseado em pacotes. Isto significa que o Cloud Service Mesh não pode fazer a inspeção de pacotes, uma vez que o pod é ignorado e nunca usa o IPTables.

Isto manifesta-se no modo gratuito do kube-proxy pela perda de conetividade ou pelo encaminhamento incorreto do tráfego para serviços com a Cloud Service Mesh, uma vez que o sidecar não consegue fazer a inspeção de pacotes.

Este problema está presente em todas as versões do Google Distributed Cloud 1.10. No entanto, algumas versões mais recentes do 1.10 (1.10.2 ou superior) têm uma solução alternativa.

Solução alternativa:

Atualize para a versão 1.11 para ter compatibilidade total ou, se estiver a executar a versão 1.10.2 ou posterior, execute:

    kubectl edit cm -n kube-system cilium-config --kubeconfig USER_CLUSTER_KUBECONFIG
    

Adicione bpf-lb-sock-hostns-only: true ao configmap e, em seguida, reinicie o daemonset anetd:

      kubectl rollout restart ds anetd -n kube-system --kubeconfig USER_CLUSTER_KUBECONFIG
    

O kube-controller-manager pode desassociar volumes persistentes à força após 6 minutos

kube-controller-manager pode atingir o limite de tempo ao separar PV/PVCs após 6 minutos e separar os PV/PVCs à força. Registos detalhados de kube-controller-manager mostram eventos semelhantes aos seguintes:

$ cat kubectl_logs_kube-controller-manager-xxxx | grep "DetachVolume started" | grep expired

kubectl_logs_kube-controller-manager-gke-admin-master-4mgvr_--container_kube-controller-manager_--kubeconfig_kubeconfig_--request-timeout_30s_--namespace_kube-system_--timestamps:2023-01-05T16:29:25.883577880Z W0105 16:29:25.883446       1 reconciler.go:224] attacherDetacher.DetachVolume started for volume "pvc-8bb4780b-ba8e-45f4-a95b-19397a66ce16" (UniqueName: "kubernetes.io/csi/csi.vsphere.vmware.com^126f913b-4029-4055-91f7-beee75d5d34a") on node "sandbox-corp-ant-antho-0223092-03-u-tm04-ml5m8-7d66645cf-t5q8f"
This volume is not safe to detach, but maxWaitForUnmountDuration 6m0s expired, force detaching

Para validar o problema, inicie sessão no nó e execute os seguintes comandos:

# See all the mounting points with disks
lsblk -f

# See some ext4 errors
sudo dmesg -T

No registo do kubelet, são apresentados erros como os seguintes:

Error: GetDeviceMountRefs check failed for volume "pvc-8bb4780b-ba8e-45f4-a95b-19397a66ce16" (UniqueName: "kubernetes.io/csi/csi.vsphere.vmware.com^126f913b-4029-4055-91f7-beee75d5d34a") on node "sandbox-corp-ant-antho-0223092-03-u-tm04-ml5m8-7d66645cf-t5q8f" :
the device mount path "/var/lib/kubelet/plugins/kubernetes.io/csi/pv/pvc-8bb4780b-ba8e-45f4-a95b-19397a66ce16/globalmount" is still mounted by other references [/var/lib/kubelet/plugins/kubernetes.io/csi/pv/pvc-8bb4780b-ba8e-45f4-a95b-19397a66ce16/globalmount

Solução alternativa:

Estabeleça ligação ao nó afetado através de SSH e reinicie o nó.

A atualização do cluster fica bloqueada se for usado um controlador CSI de terceiros

Pode não conseguir atualizar um cluster se usar um controlador CSI de terceiros. O comando gkectl cluster diagnose pode devolver o seguinte erro:

"virtual disk "kubernetes.io/csi/csi.netapp.io^pvc-27a1625f-29e3-4e4f-9cd1-a45237cc472c" IS NOT attached to machine "cluster-pool-855f694cc-cjk5c" but IS listed in the Node.Status"

Solução alternativa:

Faça a atualização através da opção --skip-validation-all.

gkectl repair admin-master cria a VM principal de administrador sem atualizar a versão do hardware da VM

O nó principal de administrador criado através de gkectl repair admin-master pode usar uma versão de hardware da VM inferior à esperada. Quando o problema ocorre, é apresentado o erro do relatório gkectl diagnose cluster.

CSIPrerequisites [VM Hardware]: The current VM hardware versions are lower than vmx-15 which is unexpected. Please contact Anthos support to resolve this issue.

Solução alternativa:

Encerre o nó principal do administrador, siga as instruções em https://kb.vmware.com/s/article/1003746 para atualizar o nó para a versão esperada descrita na mensagem de erro e, em seguida, inicie o nó.

A VM liberta a alocação de DHCP no encerramento/reinício inesperadamente, o que pode resultar em alterações de IP

No systemd v244, systemd-networkd tem uma alteração do comportamento predefinido na configuração KeepConfiguration. Antes desta alteração, as VMs não enviavam uma mensagem de libertação de alocação de DHCP para o servidor DHCP no encerramento ou reinício. Após esta alteração, as VMs enviam uma mensagem deste tipo e devolvem os IPs ao servidor DHCP. Como resultado, o IP libertado pode ser reatribuído a uma VM diferente e/ou pode ser atribuído um IP diferente à VM, o que resulta num conflito de IP (ao nível do Kubernetes, não ao nível do vSphere) e/ou numa alteração do IP nas VMs, o que pode danificar os clusters de várias formas.

Por exemplo, pode ver os seguintes sintomas.

• A IU do vCenter mostra que nenhuma MV usa o mesmo IP, mas kubectl get nodes -o wide devolve nós com IPs duplicados.

  NAME   STATUS    AGE  VERSION          INTERNAL-IP    EXTERNAL-IP    OS-IMAGE            KERNEL-VERSION    CONTAINER-RUNTIME
  node1  Ready     28h  v1.22.8-gke.204  10.180.85.130  10.180.85.130  Ubuntu 20.04.4 LTS  5.4.0-1049-gkeop  containerd://1.5.13
  node2  NotReady  71d  v1.22.8-gke.204  10.180.85.130  10.180.85.130  Ubuntu 20.04.4 LTS  5.4.0-1049-gkeop  containerd://1.5.13

• Os novos nós não são iniciados devido ao erro calico-node

  2023-01-19T22:07:08.817410035Z 2023-01-19 22:07:08.817 [WARNING][9] startup/startup.go 1135: Calico node 'node1' is already using the IPv4 address 10.180.85.130.
  2023-01-19T22:07:08.817514332Z 2023-01-19 22:07:08.817 [INFO][9] startup/startup.go 354: Clearing out-of-date IPv4 address from this node IP="10.180.85.130/24"
  2023-01-19T22:07:08.825614667Z 2023-01-19 22:07:08.825 [WARNING][9] startup/startup.go 1347: Terminating
  2023-01-19T22:07:08.828218856Z Calico node failed to start

Solução alternativa:

Implemente o seguinte DaemonSet no cluster para reverter a alteração do comportamento predefinido.systemd-networkd As VMs que executam este DaemonSet não libertam os IPs para o servidor DHCP no encerramento/reinício. Os IPs são libertados automaticamente pelo servidor DHCP quando as concessões expiram.

      apiVersion: apps/v1
      kind: DaemonSet
      metadata:
        name: set-dhcp-on-stop
      spec:
        selector:
          matchLabels:
            name: set-dhcp-on-stop
        template:
          metadata:
            labels:
              name: set-dhcp-on-stop
          spec:
            hostIPC: true
            hostPID: true
            hostNetwork: true
            containers:
            - name: set-dhcp-on-stop
              image: ubuntu
              tty: true
              command:
              - /bin/bash
              - -c
              - |
                set -x
                date
                while true; do
                  export CONFIG=/host/run/systemd/network/10-netplan-ens192.network;
                  grep KeepConfiguration=dhcp-on-stop "${CONFIG}" > /dev/null
                  if (( $? != 0 )) ; then
                    echo "Setting KeepConfiguration=dhcp-on-stop"
                    sed -i '/\[Network\]/a KeepConfiguration=dhcp-on-stop' "${CONFIG}"
                    cat "${CONFIG}"
                    chroot /host systemctl restart systemd-networkd
                  else
                    echo "KeepConfiguration=dhcp-on-stop has already been set"
                  fi;
                  sleep 3600
                done
              volumeMounts:
              - name: host
                mountPath: /host
              resources:
                requests:
                  memory: "10Mi"
                  cpu: "5m"
              securityContext:
                privileged: true
            volumes:
            - name: host
              hostPath:
                path: /
            tolerations:
            - operator: Exists
              effect: NoExecute
            - operator: Exists
              effect: NoSchedule