调试Pods

kubectl describe pods ${POD_NAME}

Pods停滞在Pending状态

Pod没有被调度到节点上

• 资源不足: 你可能耗尽了集群上所有的 CPU 或内存。此时，你需要删除 Pod、调整资源请求或者为集群添加节点。 更多信息请参阅计算资源文档

• 使用了 hostPort: 如果绑定 Pod 到 hostPort，那么能够运行该 Pod 的节点就有限了。 多数情况下，hostPort 是非必要的，而应该采用 Service 对象来暴露 Pod。 如果确实需要使用 hostPort，那么集群中节点的个数就是所能创建的 Pod 的数量上限。

Pods停滞在Waiting状态

表示Pod已经被调度到某工作节点，但是无法在该节点上运行。

Waiting 状态的最常见原因是拉取镜像失败。要检查的有三个方面：

• 确保镜像名字拼写正确
• 确保镜像已被推送到镜像仓库
• 用手动命令 docker pull <镜像> 试试看镜像是否可拉取

Pod 处于 Crashing 或别的不健康状态

一旦 Pod 被调度，就可以采用 调试运行中的 Pod 中的方法来进一步调试。

Pod 处于 Running 态但是没有正常工作

如果 Pod 行为不符合预期，很可能 Pod 描述（例如你本地机器上的 mypod.yaml）中有问题， 并且该错误在创建 Pod 时被忽略掉，没有报错。 通常，Pod 的定义中节区嵌套关系错误、字段名字拼错的情况都会引起对应内容被忽略掉。 例如，如果你误将 command 写成 commnd，Pod 虽然可以创建，但它不会执行 你期望它执行的命令行。
可以做的第一件事是删除你的 Pod，并尝试带有 --validate 选项重新创建。 例如，运行 kubectl apply --validate -f mypod.yaml。 如果 command 被误拼成 commnd，你将会看到下面的错误信息：

I0805 10:43:25.129850   46757 schema.go:126] unknown field: commnd
I0805 10:43:25.129973   46757 schema.go:129] this may be a false alarm, see https://github.com/kubernetes/kubernetes/issues/6842
pods/mypod

接下来就要检查的是 API 服务器上的 Pod 与你所期望创建的是否匹配 （例如，你原本使用本机上的一个 YAML 文件来创建 Pod）。 例如，运行 kubectl get pods/mypod -o yaml > mypod-on-apiserver.yaml，之后 手动比较 mypod.yaml 与从 API 服务器取回的 Pod 描述。 从 API 服务器处获得的 YAML 通常包含一些创建 Pod 所用的 YAML 中不存在的行，这是正常的。 不过，如果如果源文件中有些行在 API 服务器版本中不存在，则意味着 Pod 规约是有问题的。

调试副本控制器

副本控制器相对比较简单直接。它们要么能创建 Pod，要么不能。 如果不能创建 Pod，请参阅上述说明调试 Pod。

你也可以使用 kubectl describe rc ${CONTROLLER_NAME} 命令来检视副本控制器相关的事件。

调试服务

服务支持在多个 Pod 间负载均衡。 有一些常见的问题可以造成服务无法正常工作。 以下说明将有助于调试服务的问题。

首先，验证服务是否有端点。对于每一个 Service 对象，API 服务器为其提供 对应的 endpoints 资源。

通过如下命令可以查看 endpoints 资源：

kubectl get endpoints ${SERVICE_NAME}

确保 Endpoints 与服务成员 Pod 个数一致。 例如，如果你的 Service 用来运行 3 个副本的 nginx 容器，你应该会在服务的 Endpoints 中看到 3 个不同的 IP 地址。

服务缺少 Endpoints

如果没有 Endpoints，请尝试使用 Service 所使用的标签列出 Pod。 假定你的服务包含如下标签选择算符：

...
spec:
  - selector:
     name: nginx
     type: frontend

你可以使用如下命令列出与选择算符相匹配的 Pod，并验证这些 Pod 是否归属于创建的服务：

kubectl get pods --selector=name=nginx,type=frontend

如果 Pod 列表符合预期，但是 Endpoints 仍然为空，那么可能暴露的端口不正确。 如果服务指定了 containerPort，但是所选中的 Pod 没有列出该端口，这些 Pod 不会被添加到 Endpoints 列表。

验证 Pod 的 containerPort 与服务的 targetPort 是否匹配。

网络流量未被转发

如果你可以连接到服务上，但是连接立即被断开了，并且在 Endpoints 列表中有末端表项， 可能是代理无法连接到 Pod。

要检查的有以下三项：

• Pod 工作是否正常？ 看一下重启计数，并参阅调试 Pod；
• 是否可以直接连接到 Pod？获取 Pod 的 IP 地址，然后尝试直接连接到该 IP；
• 应用是否在配置的端口上进行服务？Kubernetes 不进行端口重映射，所以如果应用在 8080 端口上服务，那么 containerPort 字段就要设定为 8080。

如果上述方法都不能解决你的问题，请按照 调试服务文档中的介绍， 确保你的 Service 处于 Running 态，有 Endpoints 被创建，Pod 真的在提供服务； DNS 服务已配置并正常工作，iptables 规则也以安装并且 kube-proxy 也没有异常行为。
你也可以访问故障排查文档来获取更多信息。

本作品采用《CC 协议》，转载必须注明作者和本文链接