真实企业级K8S故障案例:ETCD集群断电恢复与数据保障实践

最新推荐文章于 2025-05-03 18:13:33 发布
最新推荐文章于 2025-05-03 18:13:33 发布
阅读量1.1k 收藏 12
点赞数 19
分类专栏: 技术博文分享 文章标签: k8s 故障恢复 服务器 高可用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/shjwkzkzk/article/details/147109713
版权

背景描述

某跨境电商平台生产环境使用Kubernetes(v1.23.17)管理500+微服务。某日机房突发市电中断,UPS未能及时接管导致:

  1. 3节点ETCD集群(v3.5.4)全部异常掉电

  2. Control-Plane节点无法启动api-server

  3. 业务Pod出现大规模CrashLoopBackOff

故障现象

kube-apiserver日志报错

journalctl -u kube-apiserver | grep -C 5 'etcd'

输出关键信息:

error while dialing: dial tcp 172.21.8.101:2379: connect: connection refused
storage backend: etcd3 client is not responding

手动检查ETCD状态

ETCDCTL_API=3 etcdctl --endpoints=https://172.21.8.101:2379 \
--cacert=/etc/kubernetes/pki/etcd/ca.crt \
--cert=/etc/kubernetes/pki/etcd/server.crt \
--key=/etc/kubernetes/pki/etcd/server.key endpoint status

返回错误:

{"code":14,"message":"transport: authentication handshake failed: x509: certificate has expired or is not yet valid"}

故障分析

  1. 证书损坏:ETCD进程异常终止导致证书状态不一致

  2. 数据损坏:WAL日志写入中断引发数据页校验失败

  3. 集群分裂:三节点同时掉电导致无法形成法定人数

恢复方案

执行步骤

阶段一:数据恢复

  1. 获取最新有效快照(5小时前):

# 查找有效备份(运维团队每日2次快照)
ls -lh /backup/etcd/
-rw-r----- 1 root root 2.1G Mar 15 04:00 etcd-snapshot-20240315.db
-rw-r----- 1 root root 2.1G Mar 15 16:00 etcd-snapshot-20240315-2.db

# 验证快照完整性
ETCDCTL_API=3 etcdctl --write-out=table snapshot status \
/backup/etcd/etcd-snapshot-20240315.db

  1. 全量恢复ETCD集群

# 停止所有ETCD节点
systemctl stop etcd

# 清空损坏数据目录
rm -rf /var/lib/etcd/member/

# 执行恢复操作(所有节点)
ETCDCTL_API=3 etcdctl snapshot restore /backup/etcd/etcd-snapshot-20240315.db \
--data-dir /var/lib/etcd/new \
--initial-cluster "etcd1=https://172.21.8.101:2380,etcd2=https://172.21.8.102:2380,etcd3=https://172.21.8.103:2380" \
--initial-cluster-token k8s-etcd-cluster \
--initial-advertise-peer-urls https://172.21.8.101:2380

# 迁移数据目录
mv /var/lib/etcd/new/member /var/lib/etcd/
阶段二:集群重启
# 启动ETCD服务(所有节点)
systemctl start etcd && journalctl -u etcd -f

# 验证集群健康状态
ETCDCTL_API=3 etcdctl endpoint health --cluster
阶段三:K8S组件恢复
# 重启control-plane组件
systemctl restart kube-apiserver kube-controller-manager kube-scheduler

# 验证节点状态
kubectl get nodes -o wide
kubectl get pods --all-namespaces

数据一致性保障

5小时数据缺口处理方案

  1. 业务层补偿

    • 从MySQL binlog恢复交易数据(last_commit=0x4a3f2c)

    • Redis AOF日志重放恢复会话状态

    • 消息队列重新投递未ACK消息

  2. 基础设施增强

# 配置每30分钟增量快照
crontab -e
*/30 * * * * etcdctl snapshot save /backup/etcd/incr-snapshot-$(date +\%Y\%m%d-\%H\%M).db

  1. 电源优化方案

    • 部署APC Smart-UPS 3000VA

    • 配置Nut监控服务:

apt install nut -y
vim /etc/nut/upsmon.conf
MONITOR ups@172.21.8.200 1 monuser secret master

恢复结果

  1. 业务完全恢复耗时2小时38分钟

  2. 订单数据损失率0.12%(通过补偿机制恢复)

  3. ETCD集群P99写入延迟下降15%(得益于碎片整理)

经验总结

  • 备份策略:必须遵循3-2-1原则(3副本、2种介质、1个离线)

  • 3-2-1原则的落地实现

    # 多介质备份示例(本地磁盘+对象存储+磁带)
aws s3 cp /backup/etcd/ s3://k8s-prod-backup/etcd/ --recursive --storage-class DEEP_ARCHIVE
ltfs -o device=/dev/nst0 /mnt/tape && cp /backup/etcd/*.db /mnt/tape/

    • 3副本:本地磁盘(SSD)、AWS S3 Glacier、LTO-8磁带

    • 2种介质:电子介质(云存储)+物理介质(磁带)

    • 1个离线:每周人工更换磁带并转移至防爆保险柜

  • 备份生命周期管理

    # 自动清理旧备份(保留策略)
find /backup/etcd/ -name "*.db" -mtime +30 -exec rm -vf {} \;
aws s3 ls s3://k8s-prod-backup/etcd/ | awk '{print $4}' | sort -r | tail -n +30 | xargs -I {} aws s3 rm s3://k8s-prod-backup/etcd/{}

    • 热备份保留7天

    • 冷备份保留30天

    • 归档备份保留5年

  • 断电防护:UPS容量需按实际负载的150%配置

  • 数据验证:每次备份后必须执行etcdctl snapshot status

  • 监控覆盖:增加ETCD_WAL_FSYNC_DURATION_SECONDS指标告警

# 实际恢复过程中的关键操作记录
[operator@k8s-master01 ~]$ etcdctl snapshot restore ...
Members:[{ID:1a2b3c4d Name:etcd1 PeerURLs:[https://172.21.8.101:2380]}...]
Restored cluster ID: 7d89f1a3b5c6d7e

[operator@k8s-master01 ~]# systemctl status etcd
● etcd.service - etcd key-value store
   Loaded: loaded (/usr/lib/systemd/system/etcd.service; enabled;)
   Active: active (running) since Fri 2024-03-15 21:15:03 CST; 5s ago

20个 K8S集群常见问题总结,建议收藏
虫虫的博客
03-04 3304
20个 K8S集群常见问题总结,建议收藏
[kubernetes]-k8s定时备份单节点etcd故障恢复
爷来辣的博客
04-28 403
思路:通过cronjob类型去定时备份(cronjob备份可以确保每次备份的时候k8s状态是ok的),通过可执行文件在宿主机上进行恢复。导语:前场经常非法关机导致单机的etcd损坏。每次都重装k8s虽然比较简单,但是会相对耗时。把命令写到脚本里做了下测试,恢复成功。不用root去备份会报权限问题。cronjob.yaml如下。立即运行cronjob。
记一次虚机强制断电 K8s 集群 etcd pod 挂掉快照丢失(没有备份)问题处理
山河已无恙
01-23 3725
不小心拔错电源了,虚机强制关机,开机后集群死掉了记录下解决方案断电导致etcd 快照数据丢失,没有备份.基本上是没办法处理可以找专业的 DBA来处理数据看有没有可能恢复这篇博文的解决办法是删除了 etcd 数据目录中的部分文件。集群可以启动,但是 部署的环境数据都丢失了,包括CNI, 集群自带的 DNS 组件也丢了。理解不足小伙伴帮忙指正不管是生产还是测试, k8s集群 ETCD 一定要备份,ETCD 一定要备份,ETCD 一定要备份 ,重要的话说三遍。
k8s常见故障
ss810540895的博客
10-09 1324
问题出现不可怕, 重要的是加好监控及时报警, 我们之前一直对 kube-system 的监控没有做到很好, flannel 一直启动不成功的问题是我检查时发现的,使用别人提供的yaml文件前, 要注意下资源设置的, 类似 Prometheus 也有这种问题的, 它对内存的要求很高预算充足就不要自建集群了, 有不少运维问题的, 万一出现一个解决不了的就很麻烦, 类似上次那篇文章: 记一次Kubernetes机器内核问题排查[1]希望我们的经验能帮助到使用 K8s 的各位读者.
k8s业务故障集锦
weixin_42323738的博客
07-06 612
通过观察问题主机的参数,发现net.netfilter.nf_conntrack_tcp_timeout_established的阈值为300,即5分钟后tcp_established的信息将不在记录,从而被nf_conntrack回收。2)当建立的tcp链接,在等待8分钟之后,再发送数据,却迟迟没有收到数据库的返回包,导致java服务端一直在进行包的重传,重传多次,也没有收到数据库的回包。1)数据库在于java服务端建立了tcp链接之后,在立即发送数据包的情况下,可以收到从java服务端发送来的数据包。
etcd集群恢复、单节点恢复操作手册
weixin_43539320的博客
05-13 2119
​ 生产环境中,经常遇到etcd集群出现单节点故障或者集群故障。针对这两种情况,进行故障修复。以下为介绍etcd集群全部节点故障时,故障应急的恢复手册​ 生产环境中,经常遇到etcd集群出现单节点故障或者集群故障。针对这两种情况,进行故障修复。本文介绍etcd的单节点故障时,故障应急的恢复手册。
K8SR6 故障恢复最佳部署实践
04-22
KingbaseES V8R6(简称K8SR6)作为一款高性能的企业级数据库产品,在面对各种故障场景时提供了丰富的故障恢复机制。本文将详细阐述K8SR6中的故障恢复最佳实践,包括自动故障恢复手动故障恢复两大部分。 #### 二、...
基于DevOps、微服务以及k8s高可用架构探索实现
热门推荐
知行合一 止于至善
08-23 1万+
现代的企业面临着一个VUCA的时代,高可用系统架构面对着诸多不确定性带来的影响和挑战,如何才能能够突破困境,使得复杂的系统仍然能保持业务的连续性。业务的弹性扩容也同时会对高可用性的架构造成影响,在实践中,我们结合微服务/K8S/DevOps这三架马车进行了微服务的容器化的实践之路。
图灵最强诸葛老师最新分享:分布式服务框架原理实践.pdf篇
m0_67322837的博客
04-02 1442
如何实现高容量大并发数据库服务 | 数据库分布式架构设计 ? 一为什么要做分布式数据库架构改造? 云计算大数据时代,传统的数据库架构已经无法支撑企业高容量的数据增长,满足高并发的业务需求。对企业数据库进行分布式架构设计,打破了数据库资源不够用的天花板的同时,还能根据企业业务发展状况,随时平滑扩容。 二分布式数据库架构改造,如何做? 数据库分布式改造要遵循“循序渐进”的拆分原则 拆分方式有垂直拆分和水平拆分两种,选择拆分方式要根据企业自身业务发展需要。 一般来说,是先做垂直拆分,再...
Agent 服务跨云部署统一管理平台实战:多云架构下的智能体集群治理方案设计
最新发布
努力分享一些人工智能相关的知识干货!
05-03 890
企业级智能体平台中,随着业务全球化扩展、算力采购多样化以及数据合规监管加强,构建支持跨云厂商部署的 Agent 服务体系已成为平台演进的关键路径。本文基于真实生产环境实践,系统拆解如何在多云环境(如 AWS × 阿里云 × 华为云)中完成 Agent 服务的统一部署、跨云调度、配置管理、健康状态感知平台治理能力构建。通过异构集群抽象化、跨域服务注册、流量隔离平台管控闭环的设计实现平台对智能体集群的跨区域、跨云、跨模型的**统一调度、可观测治理高可用保障**。
UOS Desktop/server v20 初始化配置及维护指导
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
12-06 2886
因现场OS厂商应用不兼容,且鉴于信创国产化要求,替换目标系统选用:UOS Desktop 20,基于此,本文将记录下UOS(Uniontech OS)下系统初始化配置及VGPU NVIDIA-Linux先看驱动安装过程,用以指导相关同学参考借鉴!关联资源官网Uos开发者模式权限申请官方 Nvidia 显卡驱动常见问题信创国测目录。
ETCD集群故障应急恢复-本地数据可用
李姓门徒
05-22 1807
如果整个etcd集群的所有节点宕机,并且通过常规节点重启,无法完成选主,集群无法恢复。本文针对这种情况进行集群恢复指导
【笔记】解决断电k8s和docker起不来的问题
weixin_48819467的博客
04-28 2621
解决断电后docker和k8s起来不了的问题
2024年最全Etcd教程 — 第二章 Etcd集群静态发现_etcd 双节点集群(2),Golang这些高端技术只有你还不知道
2401_84910977的博客
05-14 892
}1.etcd-version:etcd的版本。2.git-sha。3.go-version:基于的go语言版本。4.go-os:运行的系统。5.go-arch:运行的系统架构。6.max-cpu-set:设置的CPU数量。7.max-cpu-available:最多可用的CPU数量。8.member-initialized:集群成员是否初始化,默认false。
linux 计划任务
cnhunke的博客
01-30 662
有的工作则是临时发生的,例如刚好有亲友到访,需要你在一个特定的时间去车站迎接!at在运行的时候会将定义好的工作以文本文件的方式写入 /var/spool/at/ 目录内,该工作便能等待 atd 这个服务的调用,但是出于安全考虑,并不是所有的人都可以使用 at 计划任务!crontab -e是针对用户 来设计的,系统的计划任务是通过/etc/crontab文件来实现的,我们只要编辑/etc/crontab 这个文件就可以,由于cron的最低检测时间是分钟,所以编辑好这个文件,系统就会自动定期执行了。
Etcd教程 — 第二章 Etcd集群静态发现_etcd 双节点集群
2401_86963437的博客
09-11 954
在生产环境中,为了整个集群高可用etcd 正常都会集群部署,避免单点故障。:静态发现前提是在搭建集群之前已经提前知道各节点成员的信息,而实际应用中可能存在预先并不知道各节点ip的情况,这时可。按照RAFT协议,此时集群写操作无法使得大多数节点同意,从而导致写失败,集群无法正常工作。多机搭建Etcd集群需要注意的是每个机器上的 2379、2380端口要保持开放,否则会搭建失败。通常都是将集群节点部署为3,5,7,9个节点,为什么不能选择偶数个节点?文件,添加集群信息,注意修改对应的ip。
k8s集群故障问题处理
m0_37845900的博客
04-29 2785
本文章只介绍k8s pod下可能出现的故障问题 k8s node master这些问题现在给 阿里云托管所以以下不会介绍这些问题 但是会精简说一下k8s集群外部所遇到的问题 集群内部问题 1 Pod 一直处于 Pending 状态 可能的原因包括  资源不足,集群内所有的 Node 都不满足该 Pod 请求的 CPU、内存、 GPU 或者临时存储空间等资源。解决方法是删除集群内不用的 Pod 或者 增加新的 Node。  HostPort 端口已被占用,通常推荐使用 Service 对外开放服务端口
关于k8sETCD集群备份灾难恢复的一些笔记
山河已无恙
03-04 1609
集群电源不稳定,或者节点动不动就 宕机,一定要做好备份,ETCD的快照文件很容易受影响损坏。重置了很多次集群,才认识到备份的重要博文内容涉及etcd 运维基础知识了解静态 Pod 方式 etcd 集群灾备恢复 Demo定时备份的任务编写二进制 etcd 集群灾备恢复 Demo理解不足小伙伴帮忙指正我所渴求的,無非是將心中脫穎語出的本性付諸生活,為何竟如此艱難呢 ------赫尔曼·黑塞《德米安》etcd是CoreOS团队于2013年6月发起的开源项目,它的目标是构建一个。
Kubernetes实战项目推荐
03-08
<think>嗯,用户想了解Kubernetes的实战项目推荐。首先,我需要确定用户的背景。可能是一个刚开始学习Kubernetes的人,想要通过实际项目来巩固知识,或者是有一定基础想找项目练手。用户提到的是“实战项目”,所以应该需要具体、可操作的项目建议,而不仅仅是理论。 接下来,我应该考虑哪些类型的项目适合不同水平的学习者。比如,对于初学者,可能适合部署简单的应用,比如WordPress或者博客系统。中级用户可能需要涉及CI/CD、监控、日志等。高级用户可能涉及多集群管理、服务网格、自定义控制器等。 然后,要确保推荐的项目覆盖常见的Kubernetes使用场景,比如应用部署、自动化、监控、伸缩、服务发现等。每个项目需要说明技术栈和收获,这样用户能清楚项目的目的和能学到什么。 还要注意项目的可实施性,是否有详细的文档或教程可以参考。可能需要推荐一些GitHub上的热门项目或者官方示例,这样用户容易找到资源。 另外,用户可能希望项目有实际应用价值,比如微服务架构、云原生应用,这样在简历或实际工作中也能派上用场。比如部署一个电商微服务系统,或者使用Kubernetes管理机器学习工作流。 还需要考虑用户可能对某些工具或技术栈不熟悉,比如Helm、Prometheus、Istio等,所以在推荐项目时应该适当介绍这些工具,并说明在项目中的作用。 另外,可能用户希望从简单到复杂的项目路径,逐步提升技能。所以应该分层次推荐,从基础到高级,让用户可以根据自身情况选择。 同时,要确保推荐的项目涵盖不同的方面,比如存储管理、网络策略、安全加固,这样用户能全面了解Kubernetes的各个组件和功能。 最后,可能需要提醒用户在学习过程中注意实践和文档记录,以及如何解决常见问题,比如调试Pod、排查网络问题等。可能还需要建议他们结合官方文档和社区资源,遇到问题时积极查找解决方案。</think>以下是一些适合不同阶段的Kubernetes实战项目推荐,涵盖从基础到进阶的实践场景,建议根据自身技术水平选择: --- ### **一、入门级项目(熟悉基础概念)** 1. **部署WordPress博客系统** - 技术栈:Deployment/Service/PVC/MySQL - 收获:掌握Pod生命周期管理、服务暴露(NodePort/LoadBalancer)、持久化存储配置 - 扩展:尝试用Helm Chart一键部署 2. **搭建多节点Redis集群** - 技术栈:StatefulSet/Headless Service/ConfigMap - 收获:理解有状态应用部署、DNS解析机制、配置文件注入 3. **自动化构建CI/CD流水线** - 技术栈:Jenkins/GitLab Runner + Kubernetes Pod Executor - 收获:实践容器化构建、流水线任务调度、动态资源分配 --- ### **二、中级项目(提升运维能力)** 4. **全链路监控系统** - 技术栈:Prometheus + Grafana + Alertmanager - 收获:配置指标采集、自定义告警规则、可视化监控大盘 - 扩展:集成EFK(Elasticsearch+Fluentd+Kibana)日志系统 5. **金丝雀发布流量管理** - 技术栈:Ingress Controller(Nginx/Traefik) + Service Mesh(Istio) - 实践:通过VirtualService/DestinationRule实现灰度发布 - 扩展:结合HPA(Horizontal Pod Autoscaler)实现自动扩缩容 6. **混合云部署实践** - 技术栈:Kubernetes Cluster API + 跨云网络方案(Calico/VXLAN) - 收获:掌握多集群管理、跨云服务发现、统一配置管理 --- ### **三、进阶项目(深入架构设计)** 7. **开发自定义Operator** - 技术栈:Operator SDK/Kubebuilder + CRD(Custom Resource Definition) - 场景案例:实现MySQL集群自动化运维(备份/故障转移) - 收获:理解K8s扩展机制、控制器模式、Reconcile循环 8. **Serverless框架实践** - 技术栈:Knative/OpenFaaS + Eventing系统 - 实践:部署函数计算服务,实现事件驱动架构(如文件上传触发缩略图生成) 9. **边缘计算场景落地** - 技术栈:K3s/KubeEdge + MQTT协议 - 挑战:解决弱网络环境下的节点通信、边缘设备管理 --- ### **四、企业级综合项目(真实场景复现)** 10. **电商微服务架构** - 技术栈:Spring Cloud + Istio + Redis Cluster - 关键实践:服务网格流量管理、分布式事务处理、熔断降级策略 11. **AI/ML工作流调度** - 技术栈:Kubeflow + Argo Workflows + GPU资源调度 - 场景:实现分布式模型训练、推理服务自动伸缩 12. **安全加固实践** - 技术栈:OPA(Open Policy Agent) + NetworkPolicy + RBAC - 实施:零信任网络策略、Pod安全上下文配置、敏感数据加密 --- ### **五、学习资源推荐** 1. **官方项目库**:Kubernetes GitHub官方示例(`kubernetes/examples`) 2. **动手实验室**:Katacoda、Play with Kubernetes(免费在线沙箱) 3. **开源项目参考**: - 微服务案例:https://github.com/googlecloudplatform/microservices-demo - 生产级集群配置:https://github.com/kubernetes-sigs/kubespray **学习建议**:每个项目务必配合以下操作: 1. 手写YAML文件(避免直接复制) 2. 通过`kubectl describe`和`kubectl logs`排查问题 3. 绘制架构图理清组件关系 4. 尝试破坏性测试(如删除Pod/节点断电)观察系统自愈能力
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值