Kubernetes Windows 容器排错指南

Kubernetes Windows 容器排错指南

kubernetes-handbook Kubernetes Handbook （Kubernetes指南） https://kubernetes.feisky.xyz 项目地址: https://gitcode.com/gh_mirrors/kub/kubernetes-handbook

前言

在 Kubernetes 集群中使用 Windows 容器时，由于 Windows 和 Linux 系统的差异，经常会遇到一些特有的问题。本文将深入分析 Windows 容器在 Kubernetes 中的常见问题及其解决方案，帮助运维人员快速定位和解决问题。

Windows Node 远程访问方法

当需要排查 Windows Node 上的问题时，通常需要通过远程桌面(RDP)连接到节点。以下是几种常见的访问方式：

云平台访问方法

在云环境中，可以为虚拟机分配公网 IP 地址直接访问。

物理机访问方法

在物理机部署环境中，可以通过路由器配置端口映射来访问。

Kubernetes Service 暴露方法

更便捷的方式是通过 Kubernetes Service 暴露节点的 3389 端口：

apiVersion: v1
kind: Service
metadata:
  name: rdp
spec:
  type: LoadBalancer
  ports:
  - protocol: TCP
    port: 3389
    targetPort: 3389
---
kind: Endpoints
apiVersion: v1
metadata:
  name: rdp
subsets:
  - addresses:
      - ip: <节点IP>
    ports:
      - port: 3389

创建后，使用 mstsc.exe -v <外部IP> 即可连接。使用完毕后请记得删除该服务。

Windows Pod 常见问题排查

Pod 卡在 ContainerCreating 状态

这种情况通常由以下原因导致：

1. Pause 镜像配置错误
   Windows 需要使用特定版本的 pause 镜像，确保配置正确。

2. 镜像版本与系统不兼容
   Windows 容器镜像有严格的版本要求，必须与主机系统版本匹配：

   • Windows Server 1709 需要使用带 1709 标签的镜像
   • Windows Server 1803 需要使用带 1803 标签的镜像

   例如：

   microsoft/windowsservercore:1709
   microsoft/iis:windowsservercore-1803
   

Pod 内 DNS 解析失败

这是 Windows 容器的一个已知问题，有以下几种解决方案：

1. 重启网络服务
   执行以下 PowerShell 命令：

   Stop-Service kubeproxy
   Stop-Service kubelet
   Get-HnsNetwork | Where-Object Name -eq l2Bridge | Remove-HnsNetwork
   Get-HnsPolicyList | Remove-HnsPolicyList
   Start-Service kubelet
   Start-Service kubeproxy
   

2. 手动配置 DNS
   在 Pod 中直接设置 DNS 服务器地址：

   $adapter=Get-NetAdapter
   Set-DnsClientServerAddress -InterfaceIndex $adapter.ifIndex -ServerAddresses <kube-dns Pod IP>
   Set-DnsClient -InterfaceIndex $adapter.ifIndex -ConnectionSpecificSuffix "default.svc.cluster.local"
   

3. 确保节点运行多个 Pod
   经验表明，当节点上运行至少两个 Pod 时，DNS 解析通常能正常工作。

远程端点创建失败

错误信息：

Remote endpoint creation failed: HNS failed with error: The switch-port was not found

解决方案：

1. 安装 Windows 更新 KB4089848
2. 重启计算机
3. 确认更新已安装：

   Get-HotFix | Where-Object HotFixID -eq "KB4089848"
   

无法访问 ServiceAccount Secret

这是旧版 Windows 的已知问题，解决方案是升级系统到 1803 或更高版本。

无法访问 Kubernetes API

如果使用了 Hyper-V 隔离容器，需要启用 MAC 地址欺骗功能。

节点内无法访问 Service ClusterIP

这是 Windows 网络协议栈的当前限制，只能在 Pod 内部访问 Service ClusterIP。

Kubelet 启动问题

当使用 Docker 18.03 和 Kubelet v1.12.x 时，可能会遇到 API 版本不兼容的错误：

Error response from daemon: client version 1.38 is too new. Maximum supported API version is 1.37

解决方法是为 Docker 设置 API 版本环境变量：

[System.Environment]::SetEnvironmentVariable('DOCKER_API_VERSION', '1.37', [System.EnvironmentVariableTarget]::Machine)

总结

Windows 容器在 Kubernetes 中的运行确实会遇到一些特有的问题，但大多数都有成熟的解决方案。关键是要：

1. 确保 Windows 系统和容器镜像版本匹配
2. 及时安装必要的系统更新
3. 了解 Windows 网络栈的特殊性
4. 掌握基本的 PowerShell 排错命令

通过本文介绍的方法，应该能够解决大部分 Windows 容器在 Kubernetes 中的常见问题。对于更复杂的情况，建议查阅微软官方文档获取最新信息。

kubernetes-handbook Kubernetes Handbook （Kubernetes指南） https://kubernetes.feisky.xyz 项目地址: https://gitcode.com/gh_mirrors/kub/kubernetes-handbook