Kubernetes(k8s)-故障检查和故障自愈(NPD(Node Problem Detector))介绍和应用

最新推荐文章于 2025-05-10 17:01:59 发布
原创 最新推荐文章于 2025-05-10 17:01:59 发布 · 757 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生 #prometheus #运维

作者介绍:简历上没有一个精通的运维工程师。请点击上方的蓝色《运维小路》关注我,下面的思维导图也是预计更新的内容和当前进度(不定时更新)。

图片

我们上一章介绍了Docker基本情况,目前在规模较大的容器集群基本都是Kubernetes,但是Kubernetes涉及的东西和概念确实是太多了,而且随着版本迭代功能在还增加,笔者有些功能也确实没用过,所以只能按照我自己的理解来讲解。

前面我们介绍的Kubernetes的监控,虽然没有讲解告警,但是告警产生以后,我们还是需要去核查异常情况,有没有什么方式自动修复我们的问题,他就是我们要讲的Node Problem Detector(NPD)。

Node Problem Detector(NPD)简介

Node Problem Detector(NPD)是Kubernetes社区维护的开源工具,旨在检测节点级别的异常状态(如硬件故障、内核问题、容器运行时错误等),并将问题上报至Kubernetes事件系统或Node Condition,为集群自愈提供依据。其核心功能包括:

问题检测:通过监控系统日志(如journald)、内核日志或自定义插件,识别节点异常。

事件上报:将检测到的问题转化为Kubernetes的NodeConditionEvent,供集群管理员或自动化系统处理。

与自愈系统集成:结合Prometheus、Alertmanager等工具触发告警,或通过自动化脚本重启服务、修复配置。

核心应用场景

  • 硬件故障:如CPU/内存/磁盘异常。

  • 内核问题:如死锁、文件系统损坏。

  • 容器运行时异常:Docker假死、CRI-O崩溃。

  • 基础设施服务故障:NTP服务失效、网络插件异常(如Calico/Flannel)。

NPD的安装与配置

helm repo add deliveryhero https://charts.deliveryhero.io/
helm install --generate-name deliveryhero/node-problem-detector

检查Pod状态

图片

模拟内核错误并观察事件

# 注入测试日志
sh -c "echo 'kernel: BUG: unable to handle kernel NULL pointer dereference at TESTING' >> /dev/kmsg"
# 查看节点事件
kubectl describe node node01

验证自我修复

基础镜像,是因为我们使用Cronjob来检查集群的状态,然后里面必须要包含我们需要使用的基础工具。

FROM 192.168.31.43:5000/centos:7

# 移除旧的 yum 源配置
RUN rm -rf /etc/yum.repos.d/*.repo

# 添加 CentOS 基础源
ADD CentOS-Base.repo /etc/yum.repos.d/

RUN yum clean all
# 添加 EPEL 源
RUN yum install -y epel-release

# 安装 jq和ssh客户端 
RUN yum -y install jq
RUN yum -y install openssh-clients
# 添加 kubectl 到 /usr/bin 目录
ADD kubectl /usr/bin/

创建一个CronJob,定义检查集群的状态,这里还是复用上面的事件来判断集群异常。

apiVersion: batch/v1
kind: CronJob
metadata:
  name: node-auto-reboot
  namespace: kube-system
spec:
  schedule: "*/5 * * * *"  # 每5分钟检查一次
  concurrencyPolicy: Forbid  # 禁止并发执行
  jobTemplate:
    spec:
      template:
        spec:
          serviceAccountName: node-repair-sa  # 需绑定权限
          containers:
          - name: repair-script
            image: 192.168.31.43:5000/kubectl:latest
            command: ["/bin/sh", "-c"]
            args:
              - |

                # 配置SSH
                mkdir -p /root/.ssh
                cp /etc/ssh-secret/* /root/.ssh/
                chmod 600 /root/.ssh/id_ed25519

                # 主修复脚本
                NODES=$(kubectl get events --field-selector reason=KernelOops -A -o json \
                  | jq -r '.items[] | select(.lastTimestamp >= "'$(date -d '10 minutes ago' -u +"%Y-%m-%dT%H:%M:%SZ")'") | .source.host' \
                  | sort -u)


                Service=$(kubectl  get node node01 -o yaml |grep public |awk '{print $2}')
                for NODE in $NODES; do
                  echo "处理节点: $NODE"
                  kubectl cordon $NODE
                  kubectl drain $NODE --force --ignore-daemonsets --delete-emptydir-data
                  ssh -o StrictHostKeyChecking=no root@$Service "reboot"
                  sleep 60  # 等待重启
                  kubectl uncordon $NODE
                done
            volumeMounts:
              - name: ssh-secret
                mountPath: "/etc/ssh-secret"
          volumes:
            - name: ssh-secret
              secret:
                secretName: npd-ssh-key
          restartPolicy: OnFailure
# ServiceAccount 和权限绑定
apiVersion: v1
kind: ServiceAccount
metadata:
  name: node-repair-sa
  namespace: kube-system

---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: node-repair-role
rules:
- apiGroups: [""]
  resources: ["nodes", "events", "pods"]
  verbs: ["get", "list", "watch", "update", "patch", "delete"]

---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: node-repair-binding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: node-repair-role
subjects:
- kind: ServiceAccount
  name: node-repair-sa
  namespace: kube-system

​​​​​​​

这里还需要准备一个公钥和私钥,为的目的是可以免密登录到各个节点。每个服务器都需要放置公钥,更详细配置方式可参考:​​​​​​​​​​​​​​Linux日常运维-SSHD(一)

    # 生成密钥(类型 ed25519,更安全)
ssh-keygen -t ed25519 -f npd-ssh-key -N ""

    复制公钥复制每个服务器的/root/.ssh/authorized_keys文件。

    #把私钥变成变成secret
kubectl create secret generic npd-ssh-key \
  --namespace=kube-system \
  --from-file=id_ed25519=./npd-ssh-key \
  --from-file=id_ed25519.pub=./npd-ssh-key.pub

    图片

    从日志中我们可以看出来先隔离节点,然后驱逐Pod,然后重启,最后再取消隔离。

    运维小路

    一个不会开发的运维!一个要学开发的运维!一个学不会开发的运维!欢迎大家骚扰的运维!

    关注微信公众号《运维小路》获取更多内容。

    Kubernetes故障转移自愈能力机制详解
    陈书予
    03-21 1万+
    ubernetes是一个开源的容器编排平台,可以自动化管理容器的部署、伸缩升级。它可以减轻开发者的负担,并提高应用程序的可靠性可扩展性。Kubernetes 成功的一个原因是它的自动化故障转移自愈能力,这些功能使它成为云原生应用开发的首选平台之一。故障转移是指系统或应用程序在出现故障时,自动将工作负载转移或重分配到其他可用节点或实例上,以保持服务的可用性连续性。故障转移是云计算分布式系统的关键特性,可以帮助应用程序保持其功能并确保顺畅运行。
    Kubernetes安全之NPD(node-problem-detector)
    qq_44005305的博客
    01-11 1594
    云原生时代,有大量的节点问题可能会影响节点上运行的 pod,例如:基础设施守护进程问题:ntp 服务关闭;硬件问题:CPU、内存或磁盘损坏;内核问题:内核死锁、文件系统损坏;容器运行时问题:无响应的运行时守护进程;目前,这些问题对于集群管理堆栈中的上游层来说是不可见的,因此 Kubernetes 将继续将 Pod 调度到坏节点。为了解决这个问题,我们引入了新的守护进程节点问题检测器,从各个守护进程中收集节点问题,并使它们对上行层可见。一旦上游层对这些问题有了可见性,我们就可以讨论补救系统。
    k8s pod重启策略健康检查实现应用自动修复
    七月流星雨
    10-28 90
    1. 重启策略 Always:当容器终止退出后,总是重启容器,默认策略。 OnFailure:当容器异常退出(退出状态码非0)时,才重启容器。 Never:当容器终止退出,从不重启容器。 2. 健康检查有以下两种类型: livenessProbe(存活检查):如果检查失败,将杀死容器,根据Pod的restartPolicy来操作。 readinessProbe(就绪检查)...
    Kubernetes-NPD-02-pkg目录了解&基础代码熟悉
    一叶知秋
    11-19 1067
    字段:monitors: 存储监控器的切片,用于收集问题状态。exporters: 存储导出器的切片,用于将收集到的状态发送到外部系统或用户。方法说明: Run(context.Context) error 启动问题检测器,并在上下文被取消或出现错误时返回错误。problemCounter: 一个整型指标接口,用于计数特定问题发生的次数。problemGauge: 一个整型指标接口,用于表示特定问题是否对节点产生影响。
    Kubernetes 节点问题可观测最佳实践
    观测云的博客
    10-18 1003
    本实践主要通过介绍 Node Problem Detector 检测 Kubernetes 集群事件信息,发送到观测云平台进行统一查看分析并及时向用户发送告警。
    node-problem-detector
    Asuicao的博客
    03-13 1356
    使用 Node-Problem-Detector-Plus 组件可以监控节点的工作状态,包括内核死锁、OOM、系统线程数压力、系统文件描述符压力等指标,通过 Node Condition Event 的形式上报给 Apiserver。可以通过检测相应的指标,提前预知节点的资源压力,可以在节点开始驱逐 Pod 之前手动释放或扩容节点资源压力,防止 Kubenetes 进行资源回收或节点不可用可能带来的损失。导出器(Exporter)向特定后端报告节点问题/或指标。problem_counter指标。
    K8S监控docker状态并进行故障自愈(探针)
    scp__001的博客
    03-01 1613
    K8S三种探针 startupProbe (启动探针)判断容器内的应用程序是否已启动。如果提供了启动探测,则禁用所有其他探测,直到它成功为止。如果启动探测失败,kubelet将杀死容器容器将服从其重启策略。如果容器没有提供启动探测,则默认状态为成功。 Readness探针(就绪探针):主要用于判断服务是否已经正常工作,如果服务没有加载完成或工作异常,服务所在的Pod的IP地址会从服务的Endpoints中被移除,也就是说,当服务没有ready时,会将其从服务的loadbalancer中移除,不会再接受或
    【linux项目】2-4 k8s集群pod的健康检查之自愈机制
    Su_Ren的博客
    05-10 1181
    k8s集群内pod的健康检查的机制
    kubernetes基于node-problem-detector实现异常节点检测
    邢宁
    03-02 1852
    Kubernetes集群可能存在的问题 基础架构守护程序问题: NTP服务关闭 硬件问题:CPU,内存或磁盘损坏 内核问题:内核死锁,文件系统损坏 容器运行时问题:运行时守护程序无响应 … 当Kubernetes中节点发生上述问题,在整个集群中,k8s服务组件并不会感知以上问题,就会导致pod仍会调度至问题节点。 Node-problem-detector 为了解决这个问题,社区引入了守护进程node-problem-detector,从各个守护进程收集节点问题,并使它们对上游层可见。 Kube
    精选资源
    node-problem-detector-0.8.7.tar
    08-18
    node-problem-detector 镜像包 v0.8.7 版本
    节点异常检测 node-problem-detector
    柠是柠檬的檬的博客
    08-18 2530
    节点异常检测 node-problem-detector
    k8s(6)-自愈能力
    weixin_48878440的博客
    08-31 869
    Liveness 探测让用户可以自定义判断容器是否健康的条件。如果探测失败,Kubernetes 就会重启容器。还是举例说明,创建如下 Pod:启动进程首先创建文件,30 秒后删除,在我们的设定中,如果文件存在,则认为容器处于正常状态,反正则发生故障。部分定义如何执行 Liveness 探测:探测的方法是:通过cat命令检查文件是否存在。如果命令执行成功,返回值为零,Kubernetes 则认为本次 Liveness 探测成功;如果命令返回值非零,本次 Liveness 探测失败。...
    k8s故障检测与自愈(一)
    wanger5354的博客
    01-14 1556
    组件故障组件故障可以认为是节点故障的子类,只是故障来源是K8S基础组件的一部分。DNS故障:6个DNS Pod中的2个出现无法解析外部DNS名称的情况。后果是大量线上业务因域名解析。CNI故障:少数几个节点的容器网络外部断开,节点访问自身的Pod IP没有问题,但是其它节点无法访问故障节点的Pod IP。这种情况下,Pod本机的健康检查无效,导致故障实例持续存在,一定比例的业务请求失败。kubenurse会对ingress、dns、apiserver、kube-proxy进行网络探测。可以参考:使用Kub
    学习k8s之集群自我修复能力
    xiaoqinqin_222的博客
    01-09 536
    测试集群的自我修复能力
    K8S基本概念
    Arthur Guo 的专栏
    05-25 413
    Kubernetes Master / Node : 如果大家对诸如hadoop这样的分布式集群有所了解,就会发现k8s的设计理念其他分布式架构的非常类似的:Master节点负责接收用户的指令、分配任务以及记录各个node的情况;而node节点负责接收Master的指令,启动相应的Pod(k8s的最小执行单元,是一个Container的集合)。 安装k8s时会指定MasterNode节点,部署好之后,我们通过k8s的api与Master节点进行交互。Master节点收到了我们的指令(比如新启动一个Po
    基于K8S的推理副本高可用设计与副本故障自愈机制实战
    努力分享一些人工智能、计算机视觉、影像等相关的知识干货!
    04-29 1049
    在大规模推理平台中,副本健康状态直接决定了推理SLA的稳定性。一旦副本在运行中出现故障(如推理引擎崩溃、GPU异常、资源耗尽、进程僵死),如果不能及时剔除失效副本并补充新的健康副本,整个推理平台将迅速出现推理请求排队、延迟飙升、错误率升高等严重问题。本文基于KubernetesK8S)体系,系统讲解推理副本高可用设计原则、副本健康探测与剔除机制、副本漂移与断链保护设计、冷启动优化副本快速补充体系,以及真实环境中副本故障自愈实战案例,助力推理平台构建高稳定性、高弹性、高SLA的智能推理支撑体系。
    K8S生产化集群运维:节点资源管理(Kubelet)、降本增效
    一点一滴铺就人生
    09-24 4512
    节点资源的合理管理是集群稳定的很重要的一环
    K8s 的节点问题检测器原理解析
    云原生实验室
    08-24 3342
    NPD 入门简介节点问题检测器(Node Problem Detector) 是一个守护程序,用于监视报告节点的健康状况(包括内核死锁、OOM、系统线程数压力、系统文件描述符压力等指标)...
    Kubernetes Node-Problem-Detector 使用教程
    gitblog_00673的博客
    03-29 553
    Kubernetes Node-Problem-Detector(节点问题检测器,简称 NPD)是一个运行在每个 Kubernetes 节点上的守护进程,用于检测节点问题并将其报告给 API Server。它通过监控系统日志、运行自定义检查脚本等方式,让集群管理层能够感知到节点级别的各种问题。 ### 核心功能 ```mermaid flowchart TD A[Node-Proble...
    k8s故障自动修复
    最新发布
    08-13
    通过 Node Problem DetectorNPD)结合自动化脚本,可以实现对节点故障的实时检测与修复。例如,在检测到节点内存不足或磁盘 I/O 饱时,系统可自动触发节点隔离或重启流程,从而避免服务中断。NPD 可结合 ...
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值