Questa pagina mostra come risolvere i problemi relativi al webhook di ammissione di Config Sync. Per scoprire di più sul webhook, consulta Evitare la deriva della configurazione.
Risolvere gli errori KNV 2009
Le sezioni seguenti ti aiutano a risolvere gli errori KNV2009.
Connessione webhook di ammissione rifiutata
Se hai attivato la protezione dalla deriva, potresti ricevere il seguente errore quando il riconciliatore tenta di applicare una configurazione al cluster:
KNV2009: Internal error occurred: failed calling webhook "v1.admission-webhook.configsync.gke.io": Post "https://admission-webhook.config-management-system.svc:8676/admission-webhook?timeout=3s": dial tcp 10.92.2.14:8676: connect: connection refused
Questo errore significa che il webhook di ammissione non è ancora pronto o non è più integro. Si tratta in genere di un errore temporaneo che potresti visualizzare durante il bootstrapping di Config Sync.
Se il problema persiste, descrivi il deployment del webhook di ammissione per verificare se i relativi pod possono essere pianificati e sono integri:
kubectl describe deploy admission-webhook -n config-management-system
kubectl get pods -n config-management-system -l app=admission-webhook
Un deployment con pod integri ha un output simile al seguente:
Replicas: 2 desired | 2 updated | 2 total | 2 available | 0 unavailable
...
Conditions:
Type Status Reason
---- ------ ------
Available True MinimumReplicasAvailable
Progressing True NewReplicaSetAvailable
...
Timeout I/O richiesta webhook di ammissione
Se ricevi un errore simile al seguente quando il riconciliatore tenta di
applicare una configurazione al cluster, la porta webhook di ammissione 8676 potrebbe essere
bloccata dal firewall alla rete del control plane:
KNV2009: Internal error occurred: failed calling webhook "v1.admission-webhook.configsync.gke.io": Post https://admission-webhook.config-management-system.svc:8676/admission-webhook?timeout=3s: dial tcp 10.1.1.186:8676: i/o timeout
Per risolvere il problema, aggiungi una regola firewall
per consentire la porta 8676, che il webhook di ammissione di Config Sync utilizza per
la prevenzione della deriva. La porta 8676 deve essere aperta dal control plane ai nodi perché il control plane deve essere in grado di raggiungere il backend webhook sui nodi del cluster.
Webhook di ammissione ha rifiutato una richiesta
Se ricevi il seguente errore quando provi ad applicare una modifica a un campo gestito da Config Sync, è possibile che tu abbia apportato una modifica in conflitto:
error: OBJECT could not be patched: admission webhook "v1.admission-webhook.configsync.gke.io"
denied the request: fields managed by Config Sync can not be modified
Se hai attivato la protezione dalla deriva, quando dichiari un campo in una configurazione e il repository viene sincronizzato con un cluster, Config Sync gestisce quel campo. Qualsiasi modifica che tenti di apportare a questo campo è una modifica in conflitto.
Ad esempio, se nel repository hai una configurazione di deployment con l'etichetta environment:prod e provi a modificare l'etichetta in environment:dev nel cluster, si verificherà una modifica in conflitto e riceverai il messaggio di errore precedente. Tuttavia, se aggiungi
una nuova etichetta (ad esempio, tier:frontend) al deployment, non si verificherà
alcun conflitto.
Se vuoi che Config Sync ignori le modifiche a un oggetto, puoi aggiungere l'annotazione descritta in Ignorare le mutazioni degli oggetti.
Impossibile eliminare tutti i tipi di risorse
Uno spazio dei nomi bloccato nella fase Terminating presenta la seguente condizione:
message: 'Failed to delete all resource types, 1 remaining: admission webhook
"v1.admission-webhook.configsync.gke.io" denied the request: system:serviceaccount:kube-system:namespace-controller
is not authorized to delete managed resource "_configmap_bookstore_cm1"'
reason: ContentDeletionFailed
status: "True"
type: NamespaceDeletionContentFailure
Questo errore si verifica quando tenti di eliminare un oggetto Namespace da un repository radice, ma alcuni oggetti nello spazio dei nomi sono ancora gestiti attivamente da un riconciliatore dello spazio dei nomi. Quando uno spazio dei nomi viene eliminato, il controller
dello spazio dei nomi,
il cuaccount di serviziont è
system:serviceaccount:kube-system:namespace-controller, tenta di eliminare
tutti gli oggetti in quello spazio dei nomi. Tuttavia, il webhook di ammissione di Config Sync consente solo al riconciliatore root o dello spazio dei nomi di eliminare questi oggetti e nega al controller dello spazio dei nomi di eliminarli.
Per risolvere il problema, elimina il webhook di ammissione di Config Sync:
kubectl delete deployment.apps/admission-webhook -n config-management-system
L'operatore ConfigManagement ricrea il webhook di ammissione di Config Sync.
Se questa soluzione alternativa non funziona, potrebbe essere necessario reinstallare Config Sync.
Per evitare di riscontrare di nuovo l'errore, rimuovi il repository dello spazio dei nomi prima di rimuovere lo spazio dei nomi.
Passaggi successivi
Se i problemi persistono, verifica se il tuo problema è un problema noto.
Se non riesci a trovare una soluzione al tuo problema nella documentazione, consulta la sezione Richiedi assistenza per ulteriore aiuto, inclusi consigli sui seguenti argomenti:
- Apertura di una richiesta di assistenza contattando Cloud Customer Care.
- Ricevere assistenza dalla community
ponendo domande su
Stack Overflow.
Se utilizzi kpt o Kustomize, usa il tag
kptokustomizeper cercare problemi simili. - Apertura di bug o richieste di funzionalità utilizzando lo strumento di monitoraggio dei problemi pubblico su GitHub.