Google Distributed Cloud (nur Software) für bekannte Probleme mit VMware

Aktualisierung des Non-HA-Nutzerclusters auf einen HA-Advanced-Cluster aufgrund des unveränderlichen Felds masterNode.replicas fehlgeschlagen

Wenn Sie mit gkectl update einen Nutzercluster ohne Hochverfügbarkeit (nicht HA) auf einen erweiterten Cluster mit einer HA-Steuerungsebene aktualisieren, schlägt der Vorgang fehl und es wird die folgende Fehlermeldung angezeigt:

Failed to generate diff summary: failed to get desired onprem user cluster and node pools from seed config with dry-run webhooks:
failed to apply validating webhook to OnPremUserCluster:
masterNode.replcias: Forbidden: the field must not be mutated, diff (-before, +after): int64(- 1,+ 3)

Workaround:

Verwenden Sie den Befehl gkectl upgrade, um ein Upgrade des Non-HA-Nutzerclusters auf einen HA-Advanced-Cluster durchzuführen.

Windows-Pods bleiben nach der Migration von ControlPlaneV2 aufgrund eines ungültigen TLS-Zertifikats im Status „Pending“ (Ausstehend)

Während eines Google Distributed Cloud-Updates, das eine ControlPlaneV2-Migration von Version 1.30.x zu 1.31.x umfasst, können Windows-Pods nicht geplant werden und bleiben im Status Pending. Dieses Problem äußert sich als TLS-Zertifikatvalidierungsfehler für den Mutating Admission-Webhook windows-webhook. Das Problem tritt auf, weil der alternative Antragstellername (Subject Alternative Name, SAN) des Zertifikats fälschlicherweise einen Wert beibehält, der für die alte Kubeception-Architektur gültig ist, anstatt für den neuen kube-system.svc-Endpunkt neu generiert zu werden.

Möglicherweise wird die folgende Fehlermeldung angezeigt: failed calling webhook "windows.webhooks.gke.io": failed to call webhook: Post "https://windows-webhook.kube-system.svc:443/pod?timeout=10s": tls: failed to verify certificate: x509. Diese Situation kann durch die Migration von ControlPlaneV2 entstehen, bei der etcd-Inhalte kopiert werden. Dadurch wird das alte Zertifikat ohne ordnungsgemäße Neuerstellung übertragen. Windows-Knotenpools sind ein eingestelltes Feature und in Google Distributed Cloud 1.33 und höher nicht mehr verfügbar.

Workaround:

1. Sichern Sie das Secret user-component-options im Namespace des Nutzerclusters:

       kubectl get secret user-component-options -n USER_CLUSTER_NAME -oyaml > backup.yaml
       

2. Löschen Sie das Secret user-component-options:

       kubectl delete secret user-component-options -n USER_CLUSTER_NAME
       

3. Bearbeiten Sie die onpremusercluster-Ressource, um die Abstimmung auszulösen, indem Sie die Annotation onprem.cluster.gke.io/reconcile: "true" hinzufügen:

       kubectl edit onpremusercluster USER_CLUSTER_NAME -n USER_CLUSTER_MGMT_NAMESPACE
       

Ersetzen Sie USER_CLUSTER_NAME durch den Namen Ihres Nutzerclusters.

Das Upgrade auf einen erweiterten Cluster schlägt fehl, wenn stackdriver nicht konfiguriert ist.

Beim Upgrade/Aktualisieren eines nicht erweiterten Clusters auf einen erweiterten Cluster reagiert der Prozess möglicherweise nicht mehr, wenn Stackdriver nicht aktiviert ist.

Workaround:

• Wenn der Cluster noch nicht aktualisiert wurde, müssen Sie die folgenden Schritte ausführen, um stackdriver zu aktivieren:
  1. Fügen Sie der Clusterkonfigurationsdatei den Abschnitt stackdriver hinzu.
  2. Führen Sie gkectl update aus, um stackdriver zu aktivieren.
• Wenn ein Upgrade bereits läuft, gehen Sie so vor:
  1. Bearbeiten Sie das Secret user-cluster-creds im Namespace USER_CLUSTER_NAME-gke-onprem-mgmt mit dem folgenden Befehl:

     kubectl --kubeconfig ADMIN_KUBECONFIG \
       patch secret user-cluster-creds \
       -n USER_CLUSTER_NAME-gke-onprem-mgmt \
       --type merge -p "{\"data\":{\"stackdriver-service-account-key\":\"$(cat STACKDRIVER_SERVICE_ACCOUNT_KEY_FILE | base64 | tr -d '\n')\"}}"

  2. Aktualisieren Sie die benutzerdefinierte Ressource OnPremUserCluster mit dem Feld „stackdriver“. Verwenden Sie dasselbe Projekt mit demselben Projektspeicherort und demselben Dienstkontoschlüssel wie „cloudauditlogging“, wenn Sie die Funktion aktiviert haben.

     kubectl --kubeconfig ADMIN_KUBECONFIG \
         patch onpremusercluster USER_CLUSTER_NAME \
         -n USER_CLUSTER_NAME-gke-onprem-mgmt --type merge -p '
         spec:
           stackdriver:
             clusterLocation: PROJECT_LOCATION
             providerID: PROJECT_ID
             serviceAccountKey:
               kubernetesSecret:
                 keyName: stackdriver-service-account-key
                 name: user-cluster-creds
     '

  3. Fügen Sie der Clusterkonfigurationsdatei den Abschnitt stackdriver hinzu, um die Konsistenz zu wahren.

Pods können mit Dataplane V2 und restriktiven Netzwerkrichtlinien keine Verbindung zum Kubernetes API-Server herstellen

In Clustern mit der Architektur der Steuerungsebene V2 (CPv2) (Standard in Version 1.29 und höher) und Dataplane V2 können Pods möglicherweise keine Verbindung zum Kubernetes API-Server (kubernetes.default.svc.cluster.local) herstellen. Dieses Problem wird häufig durch das Vorhandensein von Netzwerkrichtlinien ausgelöst, insbesondere durch solche mit Standard-Deny-Regeln für ausgehenden Traffic. Mögliche Symptome:

• TCP-Verbindungsversuche zur Cluster-IP-Adresse oder zu den Knoten-IP-Adressen des API-Servers führen zu einer Connection reset by peer-Meldung.
• TLS-Handshake-Fehler beim Herstellen einer Verbindung zum API-Server.
• Wenn Sie den Befehl cilium monitor -t drop auf dem betroffenen Knoten ausführen, sehen Sie möglicherweise, dass Pakete, die für die IP-Adressen des Steuerungsebenenknotens und den API-Server-Port (in der Regel 6443) bestimmt sind, verworfen werden.

Ursache

Dieses Problem entsteht durch eine Interaktion zwischen Dataplane V2 (basierend auf Cilium) und Kubernetes-Netzwerkrichtlinien in der CPv2-Architektur, in der Steuerungsebenenkomponenten auf Knoten im Nutzercluster ausgeführt werden. Die standardmäßige Cilium-Konfiguration interpretiert ipBlock-Regeln in Netzwerkrichtlinien, die Traffic zu den Knoten-IPs der Steuerungsebenenmitglieder zulassen sollen, nicht korrekt. Dieses Problem hängt mit einem Upstream-Problem in Cilium zusammen (cilium#20550).

Workaround:

Vermeiden Sie für die Versionen 1.29, 1.30 und 1.31 die Verwendung restriktiver Netzwerkrichtlinien für ausgehenden Traffic, die den Traffic zu den Steuerungsebenenknoten blockieren könnten. Wenn Sie eine Standardrichtlinie zum Ablehnen benötigen, müssen Sie möglicherweise eine allgemeine Regel zum Zulassen für den gesamten ausgehenden Traffic hinzufügen, indem Sie beispielsweise im Abschnitt „egress“ keine „to“-Regeln angeben. Dadurch wird der gesamte ausgehende Traffic zugelassen. Diese Lösung ist weniger sicher und möglicherweise nicht für alle Umgebungen geeignet.

Aktivieren Sie für alle anderen Versionen eine Cilium-Konfiguration, damit Knoten-IP-Adressen in den ipBlock-Feldern der Netzwerkrichtlinie korrekt abgeglichen werden. So gleichen Sie Knoten-IPs in ipBlock-Feldern der Netzwerkrichtlinie ab:

1. Bearbeiten Sie die ConfigMap cilium-config:

   kubectl edit configmap -n kube-system cilium-config

2. Fügen Sie den Datenabschnitt hinzu oder ändern Sie ihn, sodass er policy-cidr-match-mode: nodes enthält:

   data:
         policy-cidr-match-mode: nodes

3. Starten Sie das anetd-DaemonSet neu, um die Konfigurationsänderung anzuwenden:

   kubectl rollout restart ds anetd -n kube-system

4. Achten Sie darauf, dass Sie eine Netzwerkrichtlinie haben, die ausgehenden Traffic von Ihren Pods zu den IP-Adressen der Steuerungsebene auf dem API-Serverport explizit zulässt. Ermitteln Sie die IP-Adressen der Knoten der Steuerungsebene Ihres Nutzerclusters, indem Sie kubectl get svc kubernetes ausführen. Die Ausgabe sieht in etwa so aus:

       apiVersion: networking.k8s.io/v1
       kind: NetworkPolicy
       metadata:
         name: allow-egress-to-kube-apiserver
         namespace: NAMESPACE_NAME
       spec:
         podSelector: {} 
         policyTypes:
         - Egress
         egress:
         - to:
           - ipBlock:
               cidr: CP_NODE_IP_1/32
           - ipBlock:
               cidr: CP_NODE_IP_2/32
           ports:
           - protocol: TCP
             port: 6443 # Kubernetes API Server port on the node
   
       

Der gke-connect-Agent-Pod bleibt während der Erstellung des Nutzerclusters im Status Pending hängen

Während der Erstellung des Nutzerclusters kann es vorkommen, dass der gke-connect-Agent-Pod im Status Pending hängen bleibt, sodass der Cluster nicht vollständig erstellt werden kann. Dieses Problem tritt auf, weil der gke-connect-Agent-Pod versucht, einen Zeitplan zu erstellen, bevor Worker-Knoten verfügbar sind, was zu einem Deadlock führt.

Dieses Problem tritt auf, wenn die erste Erstellung des Nutzerclusters aufgrund von Preflight-Validierungsfehlern fehlschlägt und ein nachfolgender Versuch, den Cluster zu erstellen, erfolgt, ohne die teilweise erstellten Ressourcen zuerst zu löschen. Beim nachfolgenden Versuch, den Cluster zu erstellen, bleibt der gke-connect-Agent-Pod aufgrund von nicht tolerierten Taints auf den Knoten der Steuerungsebene hängen. Dies wird durch einen Fehler wie den folgenden angezeigt:

    0/3 nodes are available: 3 node(s) had untolerated taint {node-role.kubernetes.io/control-plane: }`.
    

Workaround:

Wenn die Erstellung des Nutzerclusters aufgrund von Preflight-Validierungsfehlern fehlschlägt, löschen Sie die teilweise erstellten Clusterressourcen, bevor Sie versuchen, den Cluster mit korrigierten Konfigurationen noch einmal zu erstellen. So wird sichergestellt, dass der Erstellungsprozess korrekt abläuft, einschließlich der Erstellung von Knotenpools, bevor der gke-connect-Agent-Pod bereitgestellt wird.

Secrets sind auch nach dem Deaktivieren der Always-On-Secret-Verschlüsselung weiterhin verschlüsselt

Nachdem Sie die Always-On-Secrets-Verschlüsselung mit gkectl update cluster deaktiviert haben, werden die Secrets weiterhin verschlüsselt in etcd gespeichert. Dieses Problem betrifft nur Kubeception-Nutzercluster. Wenn Ihr Cluster die Steuerungsebene V2 verwendet, sind Sie von diesem Problem nicht betroffen.

Führen Sie den folgenden Befehl aus, um zu prüfen, ob die Secrets weiterhin verschlüsselt sind. Damit wird das in etcd gespeicherte Secret default/private-registry-creds abgerufen:

kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
    exec -it -n USER_CLUSTER_NAME kube-etcd-0 -c kube-etcd -- \
    /bin/sh -ec "export ETCDCTL_API=3; etcdctl \
    --endpoints=https://127.0.0.1:2379 \
    --cacert=/etcd.local.config/certificates/etcdCA.crt \
    --cert=/etcd.local.config/certificates/etcd.crt \
    --key=/etcd.local.config/certificates/etcd.key \
    get /registry/secrets/default/private-registry-creds" | hexdump -C

Wenn das Secret verschlüsselt gespeichert ist, sieht die Ausgabe so aus:

00000000  2f 72 65 67 69 73 74 72  79 2f 73 65 63 72 65 74  |/registry/secret|
00000010  73 2f 64 65 66 61 75 6c  74 2f 70 72 69 76 61 74  |s/default/privat|
00000020  65 2d 72 65 67 69 73 74  72 79 2d 63 72 65 64 73  |e-registry-creds|
00000030  0d 0a 6b 38 73 3a 65 6e  63 3a 6b 6d 73 3a 76 31  |..k8s:enc:kms:v1|
00000040  3a 67 65 6e 65 72 61 74  65 64 2d 6b 65 79 2d 6b  |:generated-key-k|
00000050  6d 73 2d 70 6c 75 67 69  6e 2d 31 3a 00 89 65 79  |ms-plugin-1:..ey|
00000060  4a 68 62 47 63 69 4f 69  4a 6b 61 58 49 69 4c 43  |JhbGciOiJkaXIiLC|
...

Wenn das Secret nicht verschlüsselt gespeichert ist, sieht die Ausgabe so aus:

00000000  2f 72 65 67 69 73 74 72  79 2f 73 65 63 72 65 74  |/registry/secret|
00000010  73 2f 64 65 66 61 75 6c  74 2f 70 72 69 76 61 74  |s/default/privat|
00000020  65 2d 72 65 67 69 73 74  72 79 2d 63 72 65 64 73  |e-registry-creds|
00000030  0d 0a 6b 38 73 00 0d 0a  0c 0d 0a 02 76 31 12 06  |..k8s.......v1..|
00000040  53 65 63 72 65 74 12 83  47 0d 0a b0 2d 0d 0a 16  |Secret..G...-...|
00000050  70 72 69 76 61 74 65 2d  72 65 67 69 73 74 72 79  |private-registry|
00000060  2d 63 72 65 64 73 12 00  1a 07 64 65 66 61 75 6c  |-creds....defaul|
...

Workaround:

1. Führen Sie ein Rolling Update für ein bestimmtes DaemonSet aus:

       kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
         rollout restart statefulsets kube-apiserver \
         -n USER_CLUSTER_NAME
       

2. Manifeste aller Secrets im Nutzercluster im YAML-Format abrufen:

       kubectl --kubeconfig USER_CLUSTER_KUBECONFIG \
         get secrets -A -o yaml > SECRETS_MANIFEST.yaml
       

3. Wenden Sie alle Secrets im Nutzercluster noch einmal an, damit alle Secrets als Nur-Text in etcd gespeichert werden:

       kubectl --kubeconfig USER_CLUSTER_KUBECONFIG \
         apply -f SECRETS_MANIFEST.yaml
       

In der generierten Datei user-cluster.yaml fehlt das Feld hostgroups

In der Nutzercluster-Konfigurationsdatei user-cluster.yaml, die mit dem Befehl gkectl get-config generiert wurde, fehlt das Feld hostgroups im Abschnitt nodePools. Mit dem Befehl gkectl get-config wird die Datei user-cluster.yaml basierend auf dem Inhalt der benutzerdefinierten Ressource OnPremUserCluster generiert. Das Feld nodePools[i].vsphere.hostgroups ist jedoch in der benutzerdefinierten Ressource OnPremNodePool vorhanden und wird nicht in die Datei user-cluster.yaml kopiert, wenn Sie gkectl get-config ausführen.

Problemumgehung

Fügen Sie das Feld nodePools[i].vsphere.hostgroups manuell zur Datei user-cluster.yaml hinzu, um dieses Problem zu beheben. Die bearbeitete Datei sollte in etwa so aussehen:

apiVersion: v1
kind: UserCluster
...
nodePools:
- name: "worker-pool-1"
  enableLoadBalancer: true
  replicas: 3
  vsphere:
    hostgroups:
    - "hostgroup-1"
...

Sie können die bearbeitete Konfigurationsdatei des Nutzerclusters verwenden, um den Nutzercluster zu aktualisieren, ohne Fehler auszulösen. Das Feld hostgroups wird beibehalten.

Gebündelter Ingress ist nicht mit gateway.networking.k8s.io-Ressourcen kompatibel

Istiod-Pods des gebündelten Ingress können nicht bereit sein, wenn gateway.networking.k8s.io-Ressourcen im Nutzercluster installiert sind. Die folgende Beispiel-Fehlermeldung kann in Pod-Logs gefunden werden:

    failed to list *v1beta1.Gateway: gateways.gateway.networking.k8s.io is forbidden: User \"system:serviceaccount:gke-system:istiod-service-account\" cannot list resource \"gateways\" in API group \"gateway.networking.k8s.io\" at the cluster scope"
    

Workaround:

Wenden Sie die folgende ClusterRole und ClusterRoleBinding auf Ihren Nutzercluster an:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: istiod-gateway
rules:
- apiGroups:
  - 'gateway.networking.k8s.io'
  resources:
  - '*'
  verbs:
  - get
  - list
  - watch
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: istiod-gateway-binding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: istiod-gateway
subjects:
- kind: ServiceAccount
  name: istiod-service-account
  namespace: gke-system
    

Knoten der Steuerungsebene des Administratorclusters werden nach Ausführung von gkectl create admin immer wieder neu gestartet

Wenn Hostnamen im Feld ipblocks Großbuchstaben enthalten, werden die Knoten der Steuerungsebene des Administratorclusters möglicherweise immer wieder neu gestartet.

Workaround:

Verwenden Sie nur Hostnamen in Kleinbuchstaben.

Runtime: out of memory „error“ nach Ausführung von gkeadm create oder upgrade

Beim Erstellen oder Aktualisieren von Administrator-Workstations mit gkeadm-Befehlen kann beim Überprüfen des heruntergeladenen Betriebssystem-Images ein OOM-Fehler auftreten.

Beispiel:

Downloading OS image
"gs://gke-on-prem-release/admin-appliance/1.30.400-gke.133/gke-on-prem-admin-appliance-vsphere-1.30.400-gke.133.ova"...

[==================================================>] 10.7GB/10.7GB

Image saved to
/anthos/gke-on-prem-admin-appliance-vsphere-1.30.400-gke.133.ova

Verifying image gke-on-prem-admin-appliance-vsphere-1.30.400-gke.133.ova...
|

runtime: out of memory

Workaround:

Upgrade eines Nicht-HA-Administratorclusters bleibt bei Creating or updating cluster control plane workloads hängen

Beim Upgrade eines Nicht-HA-Administratorclusters kann das Upgrade bei Creating or updating cluster control plane workloads hängen bleiben.

Dieses Problem tritt auf, wenn ip a | grep cali in der Administrator-Master-VM ein nicht leeres Ergebnis zurückgibt.

Beispiel:

ubuntu@abf8a975479b-qual-342-0afd1d9c ~ $ ip a | grep cali
4: cali2251589245f@if3:  mtu 1500 qdisc noqueue state UP group default

Workaround:

1. Administrator-Master reparieren:

   gkectl repair admin-master --kubeconfig=ADMIN_KUBECONFIG \
       --config=ADMIN_CONFIG_FILE \
       --skip-validation
   

2. Wählen Sie die VM-Vorlage 1.30 aus, wenn Sie einen Prompt wie im folgenden Beispiel sehen:

   Please select the control plane VM template to be used for re-creating the
   admin cluster's control plane VM.
   

3. Upgrade fortsetzen:

   gkectl upgrade admin --kubeconfig ADMIN_KUBECONFIG \
       --config ADMIN_CONFIG_FILE
   

Redundantes Feld isControlPlane in der Clusterkonfigurationsdatei unter network.controlPlaneIPBlock

Clusterkonfigurationsdateien, die von gkectl create-config in Version 1.31.0 generiert werden, enthalten ein redundantes isControlPlane-Feld unter network.controlPlaneIPBlock:

    controlPlaneIPBlock:
    netmask: ""
    gateway: ""
    ips:
    - ip: ""
      hostname: ""
      isControlPlane: false
    - ip: ""
      hostname: ""
      isControlPlane: false
    - ip: ""
      hostname: ""
      isControlPlane: false
    

Dieses Feld wird nicht benötigt und kann sicher aus der Konfigurationsdatei entfernt werden.

Add-on-Knoten des Administrators bleiben während der Migration eines Administratorclusters ohne HA zu einem HA-Administratorcluster im Status „NotReady“ hängen

Wenn Sie einen Nicht-HA-Administratorcluster, der MetalLB verwendet, zu HA migrieren, bleiben Administrator-Add-on-Knoten möglicherweise im Status NotReady hängen, wodurch die Migration nicht abgeschlossen werden kann.

Dieses Problem betrifft nur Administratorcluster, die mit MetalLB konfiguriert sind und in denen die automatische Reparatur nicht aktiviert ist.

Dieses Problem wird durch eine Race Condition während der Migration verursacht, bei der MetalLB-Lautsprecher weiterhin das alte metallb-memberlist-Secret verwenden. Aufgrund der Race-Bedingung ist die alte VIP der Steuerungsebene nicht mehr zugänglich, was dazu führt, dass die Migration ins Stocken gerät.

Workaround:

1. Löschen Sie das vorhandene metallb-memberlist-Secret:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n kube-system \
       delete secret metallb-memberlist
   

2. Starten Sie das metallb-controller-Deployment neu, damit der neue metallb-memberlist generiert werden kann:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n kube-system \
       rollout restart deployment metallb-controller
   

3. Prüfen Sie, ob das neue metallb-memberlist generiert wurde:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n kube-system \
       get secret metallb-memberlist
   

4. Aktualisieren Sie updateStrategy.rollingUpdate.maxUnavailable im metallb-speaker-DaemonSet von 1 auf 100%.

   Dieser Schritt ist erforderlich, da bestimmte DaemonSet-Pods auf den NotReady-Knoten ausgeführt werden.

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n kube-system \
       edit daemonset metallb-speaker
   

5. Starten Sie das DaemonSet metallb-speaker neu, damit die neue Mitgliederliste übernommen wird:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n kube-system \
       rollout restart daemonset metallb-speaker
   

   Nach einigen Minuten werden die Knoten des Administrator-Add-ons wieder Ready und die Migration kann fortgesetzt werden.

6. Wenn für den ursprünglichen gkectl-Befehl nach mehr als drei Stunden eine Zeitüberschreitung aufgetreten ist, führen Sie gkectl update noch einmal aus, um die fehlgeschlagene Migration fortzusetzen.

Die Clustersicherung für einen Administratorcluster ohne Hochverfügbarkeit schlägt aufgrund langer Datenspeicher- und Datenträger-Namen fehl.

Wenn Sie versuchen, einen nicht hochverfügbaren Administratorcluster zu sichern, schlägt die Sicherung fehl, da die kombinierte Länge der Namen von Datenspeicher und Datendisk die maximale Zeichenlänge überschreitet.

Ein Datenspeichername darf maximal 80 Zeichen lang sein.
 Der Sicherungspfad für einen Administratorcluster ohne Hochverfügbarkeit hat die Benennungssyntax „__“. Wenn der zusammengefügte Name die maximale Länge überschreitet, schlägt die Erstellung des Sicherungsordners fehl.

Workaround:

Benennen Sie den Datastore oder die Datendisk in einen kürzeren Namen um.
 Achten Sie darauf, dass die kombinierte Länge der Namen von Datenspeicher und Datenträger die maximale Zeichenlänge nicht überschreitet.

HA-Administratorcluster-Steuerungsebenenknoten zeigt nach Ausführung von gkectl repair admin-master eine ältere Version an

Nachdem Sie den gkectl repair admin-master-Befehl ausgeführt haben, wird für einen Knoten der Administratorsteuerungsebene möglicherweise eine ältere Version als die erwartete Version angezeigt.

Dieses Problem tritt auf, weil die gesicherte VM-Vorlage, die für die Reparatur des HA-Administratorsteuerungsebenenknotens verwendet wird, nach einem Upgrade nicht in vCenter aktualisiert wird. Das liegt daran, dass die Sicherungs-VM-Vorlage bei der Erstellung der Maschine nicht geklont wurde, wenn der Maschinenname unverändert bleibt.

Workaround:

1. Ermitteln Sie den Namen des Computers, auf dem die ältere Kubernetes-Version verwendet wird:

       kubectl get machine -o wide --kubeconfig=ADMIN_KUBECONFIG
       

2. Entfernen Sie die Anmerkung onprem.cluster.gke.io/prevented-deletion:

       kubectl edit machine MACHINE_NAME --kubeconfig=ADMIN_KUBECONFIG
       

   Speichern Sie die Änderung.

3. Führen Sie den folgenden Befehl aus, um den Computer zu löschen:

       kubectl delete machine MACHINE_NAME --kubeconfig=ADMIN_KUBECONFIG
       

   Eine neue Maschine mit der richtigen Version wird erstellt.

Terraform entfernt vCenter-Felder unerwartet

Wenn Sie einen Nutzercluster oder Nodepool mit Terraform aktualisieren, versucht Terraform möglicherweise, vCenter-Felder auf leere Werte zu setzen.

Dieses Problem kann auftreten, wenn der Cluster nicht ursprünglich mit Terraform erstellt wurde.

Workaround:

Um ein unerwartetes Update zu verhindern, müssen Sie vor dem Ausführen von terraform apply prüfen, ob das Update sicher ist. Gehen Sie dazu so vor:

1. Führen Sie terraform plan aus
2. Prüfen Sie in der Ausgabe, ob die Felder vCenter auf nil gesetzt sind.
3. Wenn ein vCenter-Feld in der Terraform-Konfiguration auf einen leeren Wert gesetzt ist, fügen Sie der Liste ignore_changes vcenter hinzu. Folgen Sie dabei der Terraform-Dokumentation. Dadurch werden Aktualisierungen dieser Felder verhindert.
4. Führen Sie terraform plan noch einmal aus und prüfen Sie die Ausgabe, um zu bestätigen, dass die Aktualisierung wie erwartet erfolgt ist.

Knoten der Steuerungsebene von Nutzerclustern werden immer während des ersten Administratorcluster-Updates neu gestartet

Nachdem die Steuerungsebenenknoten der Kubeception-Nutzercluster erstellt, aktualisiert oder aktualisiert wurden, werden sie einzeln neu gestartet. Dies geschieht beim ersten Administratorcluster-Vorgang, wenn der Administratorcluster in einer der betroffenen Versionen erstellt oder auf eine der betroffenen Versionen aktualisiert wird. Bei Kubeception-Clustern mit 3 Knoten der Steuerungsebene sollte dies nicht zu Ausfallzeiten der Steuerungsebene führen. Die einzige Auswirkung ist, dass der Administratorcluster-Vorgang länger dauert.

Fehler beim Erstellen benutzerdefinierter Ressourcen

In Version 1.31 von Google Distributed Cloud können Fehler auftreten, wenn Sie versuchen, benutzerdefinierte Ressourcen wie Cluster (alle Typen) und Arbeitslasten zu erstellen. Das Problem wird durch eine wichtige Änderung in Kubernetes 1.31 verursacht, die verhindert, dass das Feld caBundle in einer benutzerdefinierten Ressourcendefinition von einem gültigen in einen ungültigen Zustand übergeht. Weitere Informationen zu dieser Änderung finden Sie im Kubernetes 1.31-Changelog.

Vor Kubernetes 1.31 wurde das Feld caBundle oft auf den provisorischen Wert \n gesetzt, da der API-Server in früheren Kubernetes-Versionen keine leeren CA-Bundle-Inhalte zuließ. Die Verwendung von \n war eine angemessene Problemumgehung, um Verwirrung zu vermeiden, da cert-manager die caBundle normalerweise später aktualisiert.

Wenn die caBundle einmal von einem ungültigen in einen gültigen Status geändert wurde, sollten keine Probleme auftreten. Wenn die benutzerdefinierte Ressourcendefinition jedoch auf \n (oder einen anderen ungültigen Wert) abgestimmt wird, kann der folgende Fehler auftreten:

...Invalid value: []byte{0x5c, 0x6e}: unable to load root certificates: unable to parse bytes as PEM block]

Problemumgehung

Wenn Sie eine benutzerdefinierte Ressourcendefinition haben, in der caBundle auf einen ungültigen Wert festgelegt ist, können Sie das Feld caBundle vollständig entfernen. Dadurch sollte das Problem behoben werden.

cloud-init status gibt immer einen Fehler zurück

Beim Aktualisieren eines Clusters, der das Betriebssystem-Image Container-Optimized OS (COS) verwendet, auf Version 1.31 schlägt der Befehl cloud-init status fehl, obwohl cloud-init ohne Fehler abgeschlossen wurde.

Workaround:

Führen Sie den folgenden Befehl aus, um den Status von cloud-init zu prüfen:

    systemctl show -p Result cloud-final.service
    

Wenn die Ausgabe in etwa so aussieht, wurde cloud-init erfolgreich abgeschlossen:

    Result=success
    

Die Preflight-Prüfung der Administratorarbeitsstation schlägt beim Upgrade auf Version 1.28 fehl, wenn die Festplattengröße weniger als 100 GB beträgt.

Beim Upgrade eines Clusters auf Version 1.28 schlägt der Befehl gkectl prepare während der Preflight-Prüfungen der Administratorworkstation fehl, wenn die Festplattengröße der Administratorworkstation weniger als 100 GB beträgt. In diesem Fall wird eine Fehlermeldung wie die folgende angezeigt:

    Workstation Hardware: Workstation hardware requirements are not satisfied
    

In Version 1.28 wurde die Voraussetzung für die Festplattengröße der Administrator-Workstation von 50 GB auf 100 GB erhöht.

Workaround:

1. Führen Sie ein Rollback der Administrator-Workstation durch.
2. Aktualisieren Sie die Konfigurationsdatei der Administrator-Workstation, um die Festplattengröße auf mindestens 100 GB zu erhöhen.
3. Führen Sie ein Upgrade der Administratorworkstation durch.

gkectl gibt den Fehler „false“ für die NetApp-StorageClass zurück.

Der gkectl upgrade-Befehl gibt einen falschen Fehler zur NetApp-StorageClass zurück. Die Fehlermeldung sieht etwa so aus:

    detected unsupported drivers:
      csi.trident.netapp.io
    

Workaround:

Führen Sie gkectl upgrade mit dem Flag `--skip-pre-upgrade-checks` aus.

Ungültiges CA-Zertifikat nach der Cluster-CA-Rotation in ClientConfig verhindert die Clusterauthentifizierung

Nachdem Sie die CA-Zertifikate (Certificate Authority) in einem Nutzercluster rotiert haben, enthält das Feld spec.certificateAuthorityData in der ClientConfig ein ungültiges CA-Zertifikat, das die Authentifizierung für den Cluster verhindert.

Workaround:

Aktualisieren Sie das Feld spec.certificateAuthorityData in ClientConfig manuell mit dem richtigen CA-Zertifikat, bevor Sie sich das nächste Mal über die gcloud CLI authentifizieren.

1. Kopieren Sie das Cluster-CA-Zertifikat aus dem Feld certificate-authority-data in der kubeconfig des Administratorclusters.
2. Bearbeiten Sie die ClientConfig und fügen Sie das CA-Zertifikat in das Feld spec.certificateAuthorityData ein.

       kubectl edit clientconfig default -n kube-public --kubeconfig USER_CLUSTER_KUBECONFIG
       

Preflight-Prüfung schlägt fehl, wenn gebündelter eingehender Traffic deaktiviert wird

Wenn Sie den gebündelten eingehenden Traffic deaktivieren, indem Sie das Feld loadBalancer.vips.ingressVIP in der Clusterkonfigurationsdatei entfernen, führt ein Fehler in der MetalLB-Preflight-Prüfung dazu, dass die Clusteraktualisierung mit der Fehlermeldung „invalid user ingress vip: invalid IP“ fehlschlägt.

Workaround:

Ignorieren Sie die Fehlermeldung.
Sie haben folgende Möglichkeiten, das Preflight zu überspringen:

• Fügen Sie dem Befehl gkectl update cluster das Flag --skip-validation-load-balancer hinzu.
• Annotieren Sie das onpremusercluster-Objekt mit onprem.cluster.gke.io/server-side-preflight-skip: skip-validation-load-balancer.
.

Cluster-Upgrade schlägt aufgrund einer fehlenden Anti-Affinitätsgruppenregel in vCenter fehl

Während eines Cluster-Upgrades bleiben die Maschinenobjekte möglicherweise in der Phase „Erstellen“ hängen und können aufgrund einer fehlenden Anti-Affinitätsgruppenregel (AAG) in vCenter nicht mit den Knotenobjekten verknüpft werden.

Wenn Sie die problematischen Maschinenobjekte beschreiben, werden wiederholt Meldungen wie „Reconfigure DRS rule task "task-xxxx" complete“ (Neukonfiguration der DRS-Regelnaufgabe „task-xxxx“ abgeschlossen) angezeigt.

    kubectl --kubeconfig KUBECONFIG describe machine MACHINE_OBJECT_NAME
    

Workaround:

Deaktivieren Sie die Einstellung für die Anti-Affinitätsgruppe sowohl in der Konfiguration des Administratorclusters als auch in der Konfiguration des Nutzerclusters und lösen Sie den Befehl zum Erzwingen der Aktualisierung aus, um das Cluster-Upgrade zu entblocken:

    gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig ADMIN_CLUSTER_KUBECONFIG --force
    

    gkectl update cluster --config USER_CLUSTER_CONFIG_FILE --kubeconfig USER_CLUSTER_KUBECONFIG --force
    

Die Migration eines Nutzerclusters zu Controlplane V2 schlägt fehl, wenn die Secrets-Verschlüsselung schon einmal aktiviert wurde.

Wenn die Always-On-Secrets-Verschlüsselung schon einmal aktiviert war, wird der Secret-Verschlüsselungsschlüssel bei der Migration eines Nutzerclusters zu Controlplane V2 nicht ordnungsgemäß verarbeitet. Aufgrund dieses Problems kann der neue Controlplane V2-Cluster keine Secrets entschlüsseln. Wenn die Ausgabe des folgenden Befehls nicht leer ist, wurde die Always-On-Secrets-Verschlüsselung irgendwann aktiviert und der Cluster ist von diesem Problem betroffen:

    kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
      get onpremusercluster USER_CLUSTER_NAME \
      -n USER_CLUSTER_NAME-gke-onprem-mgmt \
      -o jsonpath={.spec.secretsEncryption}
    

Wenn Sie die Migration bereits gestartet haben und sie fehlschlägt, wenden Sie sich an den Google-Support. Andernfalls müssen Sie die Always-On-Secrets-Verschlüsselung vor der Migration deaktivieren und Secrets entschlüsseln.

Die Migration eines Administratorclusters von einem Cluster ohne Hochverfügbarkeit zu einem Cluster mit Hochverfügbarkeit schlägt fehl, wenn die Secrets-Verschlüsselung aktiviert ist.

Wenn die Always-On-Secrets-Verschlüsselung in der Version 1.14 oder in älteren Versionen für den Administratorcluster aktiviert wurde und ein Upgrade von alten Versionen auf die betroffenen Versionen 1.29 und 1.30 durchgeführt wurde, wird der Secret-Verschlüsselungsschlüssel bei der Migration des Administratorclusters von einem Cluster ohne Hochverfügbarkeit zu einem Cluster mit Hochverfügbarkeit nicht ordnungsgemäß verarbeitet. Aufgrund dieses Problems kann der neue hochverfügbare Administratorcluster keine Secrets entschlüsseln.

So prüfen Sie, ob der Cluster den alten formatierten Schlüssel verwendet:

    kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG get secret -n kube-system admin-master-component-options -o jsonpath='{.data.data}' | base64 -d | grep -oP '"GeneratedKeys":\[.*?\]'
    

Wenn die Ausgabe wie hier einen leeren Schlüssel enthält, ist der Cluster wahrscheinlich von diesem Problem betroffen:

    "GeneratedKeys":[{"KeyVersion":"1","Key":""}]
    

Wenn Sie die Migration bereits gestartet haben und sie fehlschlägt, wenden Sie sich an den Google-Support.

Andernfalls müssen Sie vor Beginn der Migration den Verschlüsselungsschlüssel rotieren.

credential.yaml wurde beim Upgrade der Administratorworkstation fehlerhaft generiert.

Beim Upgrade der Administratorworkstation mit dem Befehl gkeadm upgrade admin-workstation wird die Datei credential.yaml fehlerhaft generiert. Die Felder für Nutzername und Passwort sind leer. Außerdem enthält der Schlüssel privateRegistry einen Tippfehler.

Die gleiche Falschschreibung des privateRegistry-Schlüssels ist auch in der Datei admin-cluster.yaml enthalten.
Da die Datei credential.yaml während des Administratorcluster-Upgrades neu generiert wird, ist der Tippfehler auch dann vorhanden, wenn Sie ihn zuvor korrigiert haben.

Workaround:

• Aktualisieren Sie den Schlüsselnamen der privaten Registry in credential.yaml, damit er mit dem Eintrag privateRegistry.credentials.fileRef.entry in admin-cluster.yaml übereinstimmt.
• Aktualisieren Sie den Nutzernamen und das Passwort der privaten Registry in der credential.yaml.

Das Upgrade des Nutzerclusters schlägt aufgrund eines Zeitüberschreitungsfehlers beim Abgleich vor dem Upgrade fehl.

Beim Upgrade eines Nutzerclusters kann der Abgleichvorgang vor dem Upgrade länger als das definierte Zeitlimit dauern, was zu einem Upgradefehler führt. Die Fehlermeldung sieht etwa so aus:

Failed to reconcile the user cluster before upgrade: the pre-upgrade reconcile failed, error message:
failed to wait for reconcile to complete: error: timed out waiting for the condition,
message: Cluster reconcile hasn't finished yet, please fix that before
rerun the upgrade.

Das Zeitlimit für den Abgleichvorgang vor dem Upgrade beträgt 5 Minuten plus 1 Minute pro Knotenpool im Nutzercluster.

Workaround:

Sorgen Sie dafür, dass der Befehl gkectl diagnose cluster ohne Fehler ausgeführt wird.
Überspringen Sie den Abgleich vor dem Upgrade, indem Sie dem Befehl gkectl upgrade cluster das Flag --skip-reconcile-before-preflight hinzufügen. Beispiel:

gkectl upgrade cluster --skip-reconcile-before-preflight --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
--config USER_CLUSTER_CONFIG_FILE

Die Aktualisierung von DataplaneV2 ForwardMode löst nicht automatisch einen Neustart des DaemonSets anetd aus.

Wenn Sie das Feld dataplaneV2.forwardMode des Nutzerclusters mit gkectl update cluster aktualisieren, wird die Änderung nur in der ConfigMap aktualisiert. Das DaemonSet anetd übernimmt die Konfigurationsänderung nicht ohne einen Neustart und Ihre Änderungen werden nicht angewendet.

Workaround:

Wenn der Befehl gkectl update cluster ausgeführt wurde, wird die Ausgabe Done updating the user cluster angezeigt. Führen Sie daraufhin den folgenden Befehl aus, um das DaemonSet anetd neu zu starten, sodass die Konfigurationsänderung übernommen wird:

kubectl --kubeconfig USER_CLUSTER_KUBECONFIG rollout restart daemonset anetd

Prüfen Sie nach dem Neustart die DaemonSet-Bereitschaft:

kubectl --kubeconfig USER_CLUSTER_KUBECONFIG get daemonset anetd

Prüfen Sie in der Ausgabe des vorherigen Befehls, ob die Zahl in der Spalte DESIRED mit der Zahl in der Spalte READY übereinstimmt.

Der Befehl etcdctl wurde während des Cluster-Upgrades in der Sicherungsphase des Administratorclusters nicht gefunden.

Während des Upgrades eines Nutzerclusters von 1.16 auf 1.28 wird der Administratorcluster gesichert. Dabei wird die Fehlermeldung „etcdctl: command not found“ (etcdctl: Befehl nicht gefunden) angezeigt. Das Upgrade des Nutzerclusters wird erfolgreich abgeschlossen und der Administratorcluster bleibt in einem fehlerfreien Zustand. Das einzige Problem ist, dass die Metadatendatei im Administratorcluster nicht gesichert wird.

Die Ursache des Problems ist, dass das Binärprogramm etcdctl in Version 1.28 hinzugefügt wurde und auf Knoten mit Version 1.16 nicht verfügbar ist.

Die Sicherung des Administratorclusters umfasst mehrere Schritte, darunter das Erstellen eines etcd-Snapshots und das Schreiben der Metadatendatei für den Administratorcluster. Die etcd-Sicherung ist weiterhin erfolgreich, da etcdctl nach dem Ausführen von „exec“ in den etcd-Pod ausgelöst werden kann. Das Schreiben der Metadatendatei schlägt jedoch fehl, da das Binärprogramm etcdctl noch auf dem Knoten installiert werden muss. Die Sicherung der Metadatendatei ist jedoch kein Hindernis für die Sicherung. Daher ist der Sicherungsvorgang wie auch das Upgrade des Nutzerclusters erfolgreich.

Workaround:

Wenn Sie eine Sicherung der Metadatendatei erstellen möchten, folgen Sie der Anleitung unter Administratorcluster mit gkectl sichern und wiederherstellen, um eine separate Sicherung des Administratorclusters mit der Version von gkectl auszulösen, die der Version Ihres Administratorclusters entspricht.

Fehler beim Erstellen eines Nutzerclusters mit manuellem Load Balancing

Beim Erstellen eines Nutzerclusters, der für manuelles Load-Balancing konfiguriert ist, tritt ein gkectl check-config-Fehler auf, der darauf hinweist, dass der ingressHTTPNodePort-Wert mindestens 30.000 sein muss, auch wenn der gebündelte eingehende Traffic deaktiviert ist.

Dieses Problem tritt unabhängig davon auf, ob die Felder ingressHTTPNodePort und ingressHTTPSNodePort festgelegt oder leer gelassen werden.

Workaround:

Um dieses Problem zu umgehen, ignorieren Sie das von gkectl check-config zurückgegebene Ergebnis. Informationen zum Deaktivieren des gebündelten eingehenden Traffics finden Sie unter Gebündelten eingehenden Traffic deaktivieren.

Nach der Migration eines Nutzerclusters zu Controlplane V2 wird das Messwertserver-PDB des Administratorclusters möglicherweise falsch konfiguriert.

Das Problem mit dem PodDisruptionBudget (PDB) tritt auf, wenn Administratorcluster mit Hochverfügbarkeit (High Availability, HA) verwendet werden und nach der Migration 0 oder ein Administratorclusterknoten ohne Rolle vorhanden ist. Führen Sie den folgenden Befehl aus, um zu prüfen, ob Knotenobjekte ohne Rolle vorhanden sind:

kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG get nodes -o wide

Wenn nach der Migration zwei oder mehr Knotenobjekte ohne Rolle vorhanden sind, ist das PDB nicht falsch konfiguriert.

Symptome:

Die Ausgabe von Administratorclusterdiagnose enthält die folgenden Informationen

Checking all poddisruptionbudgets...FAILURE
  Reason: 1 pod disruption budget error(s).
  Unhealthy Resources:
  PodDisruptionBudget metrics-server: gke-managed-metrics-server/metrics-server might be configured incorrectly: the total replicas(1) should be larger than spec.MinAvailable(1).

Workaround:

Führen Sie den folgenden Befehl aus, um das PDB zu löschen:

kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG delete pdb metrics-server -n gke-managed-metrics-server

Webhook der Binärautorisierung blockiert den Start des CNI Plug-ins, was dazu führt, dass einer der Nodepools nicht gestartet wird.

Unter seltenen Race-Bedingungen kann eine falsche Installationsreihenfolge des Binärautorisierung-Webhooks und des gke-connect-Pods dazu führen, dass die Erstellung des Nutzerclusters ins Stocken gerät, da ein Knoten keinen Bereitschaftsstatus erreicht. In den betroffenen Szenarien kann die Erstellung von Nutzerclustern ins Stocken geraten, weil ein Knoten den Status „Bereit“ nicht erreicht. In diesem Fall wird die folgende Meldung angezeigt:

     Node pool is not ready: ready condition is not true: CreateOrUpdateNodePool: 2/3 replicas are ready
    

Workaround:

1. Entfernen Sie die Binärautorisierung-Konfiguration aus Ihrer Konfigurationsdatei. Eine Anleitung zur Einrichtung finden Sie im Installationsleitfaden für die Binärautorisierung für GKE on VMware (Tag 2).
2. Wenn Sie einen fehlerhaften Knoten während der aktuellen Clustererstellung entsperren möchten, entfernen Sie die Webhook-Konfiguration für die Binärautorisierung im Nutzercluster vorübergehend mit dem folgenden Befehl.

           kubectl --kubeconfig USER_KUBECONFIG delete ValidatingWebhookConfiguration binauthz-validating-webhook-configuration
           

   Wenn der Bootstrap-Vorgang abgeschlossen ist, können Sie die folgende Webhook-Konfiguration neu hinzufügen.

   apiVersion: admissionregistration.k8s.io/v1
   kind: ValidatingWebhookConfiguration
   metadata:
     name: binauthz-validating-webhook-configuration
   webhooks:
   - name: "binaryauthorization.googleapis.com"
     namespaceSelector:
       matchExpressions:
       - key: control-plane
         operator: DoesNotExist
     objectSelector:
       matchExpressions:
       - key: "image-policy.k8s.io/break-glass"
         operator: NotIn
         values: ["true"]
     rules:
     - apiGroups:
       - ""
       apiVersions:
       - v1
       operations:
       - CREATE
       - UPDATE
       resources:
       - pods
       - pods/ephemeralcontainers
     admissionReviewVersions:
     - "v1beta1"
     clientConfig:
       service:
         name: binauthz
         namespace: binauthz-system
         path: /binauthz
       # CA Bundle will be updated by the cert rotator.
       caBundle: Cg==
     timeoutSeconds: 10
     # Fail Open
     failurePolicy: "Ignore"
     sideEffects: None
           

CPV2 Nutzercluster-Upgrade bleibt aufgrund eines gespiegelten Rechners mit deletionTimestamp hängen

Während eines Nutzerclusterupgrades kann der Upgradevorgang hängen bleiben, wenn das gespiegelte Maschinenobjekt im Nutzercluster ein deletionTimestamp enthält. Die folgende Fehlermeldung wird angezeigt, wenn das Upgrade nicht abgeschlossen werden kann:

    machine is still in the process of being drained and subsequently removed
    

Dieses Problem kann auftreten, wenn Sie bereits versucht haben, den Knoten der Steuerungsebene des Nutzers zu reparieren, indem Sie gkectl delete machine für den gespiegelten Rechner im Nutzercluster ausgeführt haben.

Workaround:

1. Rufen Sie das gespiegelte Rechnerobjekt ab und speichern Sie es zu Sicherungszwecken in einer lokalen Datei.
2. Führen Sie den folgenden Befehl aus, um den Finalizer von der gespiegelten Maschine zu löschen, und warten Sie, bis er aus dem Nutzercluster gelöscht wurde.

       kubectl --kubeconfig ADMIN_KUBECONFIG patch machine/MACHINE_OBJECT_NAME -n USER_CLUSTER_NAME-gke-onprem-mgmt -p '{"metadata":{"finalizers":[]}}' --type=merge

3. Führen Sie die Schritte in Knoten der Steuerungsebene des Nutzerclusters der Steuerungsebene v2 aus, um die Knotenreparatur auf den Knoten der Steuerungsebene auszulösen, damit die korrekten Quellrechnerspezifikationen erneut in den Nutzercluster synchronisiert werden.
4. Führen Sie gkectl upgrade cluster noch einmal aus, um das Upgrade fortzusetzen.

Fehler bei der Clustererstellung aufgrund von VIP der Steuerungsebene in einem anderen Subnetz

Bei einem HA-Administratorcluster oder einem Steuerungsebene v2-Nutzercluster muss sich die VIP der Steuerungsebene im selben Subnetz wie andere Clusterknoten befinden. Andernfalls schlägt die Clustererstellung fehl, da kubelet nicht über die VIP der Steuerungsebene mit dem API-Server kommunizieren kann.

Workaround:

Achten Sie vor dem Erstellen des Clusters darauf, dass die VIP der Steuerungsebene im selben Subnetz wie die anderen Clusterknoten konfiguriert ist.

Fehler beim Erstellen/Upgraden des Clusters aufgrund eines Nicht-FQDN-vCenter-Nutzernamens

Die Clustererstellung oder das Cluster-Upgrade schlägt mit einem Fehler in den vSphere-CSI-Pods fehl, der angibt, dass der vCenter-Nutzername ungültig ist. Das liegt daran, dass der verwendete Nutzername kein vollständig qualifizierter Domainname ist. Fehlermeldung im vsphere-csi-controller-Pod:

    GetCnsconfig failed with err: username is invalid, make sure it is a fully qualified domain username
    

Dieses Problem tritt nur in Version 1.29 und höher auf, da dem vSphere-CSI-Treiber eine Validierung hinzugefügt wurde, um die Verwendung von vollständig qualifizierten Domainnutzernamen zu erzwingen.

Workaround:

Verwenden Sie einen vollständig qualifizierten Domainnamen für den vCenter-Nutzernamen in der Konfigurationsdatei für Anmeldedaten. Verwenden Sie beispielsweise „nutzername1@beispiel.de“ anstelle von „nutzername1“.

Fehler beim Upgrade des Administratorclusters für Cluster, die mit Version 1.10 oder früher erstellt wurden

Beim Upgrade eines Administratorclusters von 1.16 auf 1.28 kann es vorkommen, dass beim Bootstrapping des neuen Admin-Master-Computers das Steuerungsebenenzertifikat nicht generiert wird. Das Problem wird durch Änderungen bei der Generierung von Zertifikaten für den Kubernetes API-Server in Version 1.28 und höher verursacht. Das Problem tritt bei Clustern auf, die in Version 1.10 oder früher erstellt und auf Version 1.16 aktualisiert wurden und bei denen das Leaf-Zertifikat vor dem Upgrade nicht rotiert wurde.

Um festzustellen, ob der Administratorcluster-Upgrade-Fehler auf dieses Problem zurückzuführen ist, führen Sie die folgenden Schritte durch:

1. Stellen Sie eine SSH-Verbindung zur fehlerhaften Admin-Master-Maschine her.
2. Öffnen Sie /var/log/startup.log und suchen Sie nach einem Fehler wie:

Error adding extensions from section apiserver_ext
801B3213B57F0000:error:1100007B:X509 V3 routines:v2i_AUTHORITY_KEYID:unable to get issuer keyid:../crypto/x509/v3_akid.c:177:
801B3213B57F0000:error:11000080:X509 V3 routines:X509V3_EXT_nconf_int:error in extension:../crypto/x509/v3_conf.c:48:section=apiserver_ext, name=authorityKeyIdentifier, value=keyid>
   

Workaround:

1. Stellen Sie eine SSH-Verbindung zum Administrator-Master her. Weitere Informationen finden Sie unter SSH verwenden, um eine Verbindung zu einem Administratorclusterknoten herzustellen.
2. Erstellen Sie eine Kopie von /etc/startup/pki-yaml.sh und geben Sie ihr den Namen /etc/startup/pki-yaml-copy.sh.
3. /etc/startup/pki-yaml-copy.sh bearbeiten Suchen Sie authorityKeyIdentifier=keyidset und ändern Sie es zu authorityKeyIdentifier=keyid,issuer in den Abschnitten für folgende Erweiterungen: apiserver_ext, client_ext etcd_server_ext und kubelet_server_ext. Beispiel:

         [ apiserver_ext ]
         keyUsage = critical, digitalSignature, keyEncipherment
         extendedKeyUsage=serverAuth
         basicConstraints = critical,CA:false
         authorityKeyIdentifier = keyid,issuer
         subjectAltName = @apiserver_alt_names
   

4. Speichern Sie die Änderungen in /etc/startup/pki-yaml-copy.sh.
5. Öffnen Sie /opt/bin/master.sh mit einem Texteditor, suchen Sie nach allen Vorkommen von /etc/startup/pki-yaml.sh und ersetzen Sie sie durch /etc/startup/pki-yaml-copy.sh. Speichern Sie dann die Änderungen.
6. Führen Sie /opt/bin/master.sh aus, um das Zertifikat zu generieren und den Maschinenstart abzuschließen.
7. Führen Sie die gkectl upgrade admin noch einmal aus, um das Upgrade für den Administrator-Cluster durchzuführen.
8. Rotieren Sie nach Abschluss des Upgrades das untergeordnete Zertifikat für beide Administratoren und Nutzercluster, wie unter Rotation starten beschrieben.
9. Nehmen Sie nach Abschluss der Zertifikatsrotation die gleichen Änderungen an /etc/startup/pki-yaml-copy.sh vor wie zuvor und führen Sie /opt/bin/master.sh aus.

Falsche Warnmeldung für Cluster mit aktivierter Dataplane V2

Wenn Sie gkectl ausführen, um einen Cluster zu erstellen, zu aktualisieren oder zu upgraden, bei dem Dataplane V2 bereits aktiviert ist, wird die folgende falsche Warnmeldung ausgegeben:

WARNING: Your user cluster is currently running our original architecture with
[DataPlaneV1(calico)]. To enable new and advanced features we strongly recommend
to update it to the newer architecture with [DataPlaneV2] once our migration
tool is available.

Es gibt einen Fehler in gkectl, der dazu führt, dass diese Warnung immer angezeigt wird, solange dataplaneV2.forwardMode nicht verwendet wird, auch wenn Sie enableDataplaneV2: true bereits in Ihrer Cluster-Konfigurationsdatei festgelegt haben.

Workaround:

Sie können diese Warnung ignorieren.

Die Preflight-Prüfung für die Hochverfügbarkeit von Administratorclustern meldet eine falsche Anzahl von erforderlichen statischen IP-Adressen

Wenn Sie einen Hochverfügbarkeits-Administratorcluster erstellen, zeigt die Preflight-Prüfung die folgende falsche Fehlermeldung:

- Validation Category: Network Configuration
    - [FAILURE] CIDR, VIP and static IP (availability and overlapping): needed
    at least X+1 IP addresses for admin cluster with X nodes

Die Anforderung ist für HA-Administratorcluster ab Version 1.28 nicht korrekt, da sie keine Add-on-Knoten mehr haben. Da die 3 IP-Adressen der Knoten der Steuerungsebene des Administratorclusters im Abschnitt network.controlPlaneIPBlock in der Konfigurationsdatei des Administratorclusters angegeben sind, werden die IP-Adressen in der IP-Blockdatei nur für die Knoten der Steuerungsebene des Nutzerclusters von kubeception benötigt.

Workaround:

Wenn Sie die inkorrekte Preflight-Prüfung in einem Release, in dem der Fehler nicht behoben wurde, überspringen möchten, fügen Sie dem gkectl-Befehl --skip-validation-net-config hinzu.

Connect Agent verliert die Verbindung zu Google Cloud nach der Migration eines Administratorclusters ohne HA zu einem HA-Administratorcluster

Wenn Sie von einem Nicht-HA-Administratorcluster zu einem HA-Administratorcluster migriert haben, verliert der Connect Agent im Administratorcluster die Verbindung zu gkeconnect.googleapis.com mit dem Fehler „Fehler bei der Prüfung der JWT-Signatur“. Das liegt daran, dass während der Migration der KSA-Signaturschlüssel geändert wird und daher eine erneute Registrierung erforderlich ist, um die OIDC JWKs zu aktualisieren.

Workaround:

Führen Sie die folgenden Schritte aus, um den Administratorcluster wieder mit Google Cloudzu verbinden und eine erneute Registrierung auszulösen:

Rufen Sie zuerst den Namen der Bereitstellung gke-connect ab:

kubectl --kubeconfig KUBECONFIG get deployment -n gke-connect

Löschen Sie das Deployment gke-connect:

kubectl --kubeconfig KUBECONFIG delete deployment GKE_CONNECT_DEPLOYMENT -n gke-connect

Lösen Sie einen erzwungenen Abgleich für onprem-admin-cluster-controller aus, indem Sie eine „force-reconcile“-Annotation zur onpremadmincluster CR hinzufügen:

kubectl --kubeconfig KUBECONFIG patch onpremadmincluster ADMIN_CLUSTER_NAME -n kube-system --type merge -p '
metadata:
  annotations:
    onprem.cluster.gke.io/force-reconcile: "true"
'

Der Gedanke dahinter ist, dass onprem-admin-cluster-controller die Bereitstellung von gke-connect und die Neuregistrierung des Clusters immer wieder neu vornimmt, wenn keine gke-connect-Bereitstellung vorhanden ist.

Nach der Problemumgehung (es kann einige Minuten dauern, bis der Controller den Abgleich abgeschlossen hat) können Sie prüfen, ob der 400-Fehler „Fehler bei der Prüfung der JWT-Signatur“ aus den gke-connect-agent-Logs verschwunden ist:

kubectl --kubeconfig KUBECONFIG logs GKE_CONNECT_POD_NAME -n gke-connect

Die Docker-Brücken-IP-Adresse verwendet 172.17.0.1/16 für COS-Cluster-Steuerungsebenenknoten

Google Distributed Cloud legt in der Docker-Konfiguration ein eigenes Subnetz, --bip=169.254.123.1/24, für die IP-Adresse der Docker-Brücke fest, um zu verhindern, dass das Standard-Subnetz 172.17.0.1/16 reserviert wird. In den Versionen 1.28.0-1.28.500 und 1.29.0 wurde der Docker-Dienst jedoch nicht neu gestartet, nachdem Google Distributed Cloud die Docker-Konfiguration aufgrund einer Regression im COS OS-Image angepasst hatte. Deshalb nutzt Docker das Standard-Subnetz 172.17.0.1/16 als Brücken-Subnetz für IP-Adressen. Dies kann zu einem Konflikt der IP-Adressen führen, wenn bereits Arbeitslast innerhalb dieses IP-Adressbereichs ausgeführt wird.

Workaround:

Zur Umgehung dieses Problems müssen Sie den Docker-Dienst neu starten:

sudo systemctl restart docker

Prüfen Sie, ob Docker die richtige Brücken-IP-Adresse nutzt:

ip a | grep docker0

Hinweis: Diese Lösung bleibt bei der Neuerstellung von VMs nicht bestehen. Sie müssen diese Problemumgehung jedes Mal neu anwenden, wenn VMs neu erstellt werden.

Verwendung mehrerer Netzwerkschnittstellen mit Standard-CNI funktioniert nicht

Die Standard-CNI-Binärprogramme bridge, ipvlan, vlan, macvlan, dhcp, tuning, host-local, ptp, portmap sind nicht in den Betriebssystem-Images der betroffenen Versionen enthalten. Diese CNI-Binärdateien werden nicht von der Data Plane v2 verwendet, können aber für zusätzliche Netzwerkschnittstellen im Rahmen der Funktion für mehrere Netzwerkschnittstellen genutzt werden.

Mehrere Netzwerkschnittstellen funktionieren mit diesen CNI-Plug-ins nicht.

Workaround:

Wenn Sie diese Funktion nutzen, sollten Sie ein Upgrade auf die Version mit dem Fix durchführen.

NetApp Trident-Abhängigkeiten beeinträchtigen den vSphere-CSI-Treiber

Die Installation von multipathd auf Clusternknoten beeinträchtigt den vSphere-CSI-Treiber, sodass Nutzerarbeitslasten nicht gestartet werden können.

Workaround:

• multipathd deaktivieren

Der Administratorcluster-Webhook blockiert möglicherweise Updates

Wenn einige erforderliche Konfigurationen im Administratorcluster leer sind, weil Validierungen übersprungen wurden, kann das Hinzufügen dieser Konfigurationen durch den Administratorcluster-Webhook blockiert werden. Wenn zum Beispiel das Feld gkeConnect in einem bestehenden Administratorcluster nicht festgelegt war, kann das Hinzufügen mit dem Befehl gkectl update admin die folgende Fehlermeldung auslösen:

admission webhook "vonpremadmincluster.onprem.cluster.gke.io" denied the request: connect: Required value: GKE connect is required for user clusters

failed to apply OnPremAdminCluster 'kube-system/gke-admin-btncc': Internal error occurred: failed calling webhook "monpremadmincluster.onprem.cluster.gke.io": failed to call webhook: Post "https://onprem-admin-cluster-controller.kube-system.svc:443/mutate-onprem-cluster-gke-io-v1alpha1-onpremadmincluster?timeout=10s": dial tcp 10.96.55.208:443: connect: connection refused

Workaround:

• Führen Sie für Administratorcluster der Version 1.15 den Befehl gkectl update admin mit dem Flag --disable-admin-cluster-webhook aus. Beispiel:

          gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig ADMIN_CLUSTER_KUBECONFIG --disable-admin-cluster-webhook
          

• Führen Sie für Administratorcluster der Version 1.16 den Befehl gkectl update admin mit dem Flag --force aus. Beispiel:

          gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig ADMIN_CLUSTER_KUBECONFIG --force
          

Das Feld controlPlaneNodePort ist standardmäßig auf 30968 gesetzt, wenn die Spezifikation für manualLB leer ist

Wenn Sie einen manuellen Load Balancer verwenden (loadBalancer.kind ist auf "ManualLB" eingestellt), sollten Sie den Abschnitt loadBalancer.manualLB in der Konfigurationsdatei für einen Administratorcluster mit hoher Verfügbarkeit (HA) in Version 1.16 und höher nicht konfigurieren müssen. Wenn dieser Abschnitt jedoch leer ist, weist Google Distributed Cloud allen NodePorts, einschließlich manualLB.controlPlaneNodePort, Standardwerte zu, was dazu führt, dass die Cluster-Erstellung mit der folgenden Fehlermeldung fehlschlägt:

- Validation Category: Manual LB
  - [FAILURE] NodePort configuration: manualLB.controlPlaneNodePort must
   not be set when using HA admin cluster, got: 30968

Workaround:

Geben Sie manualLB.controlPlaneNodePort: 0 in der Konfiguration des Administratorclusters für den Hochverfügbarkeits-Administratorcluster an:

loadBalancer:
  ...
  kind: ManualLB
  manualLB:
    controlPlaneNodePort: 0
  ...

nfs-common fehlt im Ubuntu-Betriebssystem-Image

nfs-common fehlt im Ubuntu-Betriebssystem-Image, was zu Problemen für Kunden führen kann, die NFS-abhängige Treiber wie NetApp verwenden.

Warning FailedMount 63s (x8 over 2m28s) kubelet MountVolume.SetUp failed for volume "pvc-xxx-yyy-zzz" : rpc error: code = Internal desc = error mounting NFS volume 10.0.0.2:/trident_pvc_xxx-yyy-zzz on mountpoint /var/lib/kubelet/pods/aaa-bbb-ccc/volumes/kubernetes.io~csi/pvc-xxx-yyy-zzz/mount: exit status 32".
      

Workaround:

Achten Sie darauf, dass Ihre Knoten Pakete von Canonical herunterladen können.

Wenden Sie als Nächstes das folgende DaemonSet auf Ihren Cluster an, um nfs-common zu installieren:

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: install-nfs-common
  labels:
    name: install-nfs-common
  namespace: kube-system
spec:
  selector:
    matchLabels:
      name: install-nfs-common
  minReadySeconds: 0
  updateStrategy:
    type: RollingUpdate
    rollingUpdate:
      maxUnavailable: 100%
  template:
    metadata:
      labels:
        name: install-nfs-common
    spec:
      hostPID: true
      hostIPC: true
      hostNetwork: true
      initContainers:
      - name: install-nfs-common
        image: ubuntu
        imagePullPolicy: IfNotPresent
        securityContext:
          privileged: true
        command:
        - chroot
        - /host
        - bash
        - -c
        args:
        - |
          apt install -y nfs-common
        volumeMounts:
        - name: host
          mountPath: /host
      containers:
      - name: pause
        image: gcr.io/gke-on-prem-release/pause-amd64:3.1-gke.5
        imagePullPolicy: IfNotPresent
      volumes:
      - name: host
        hostPath:
          path: /
      

Feld für Speicherrichtlinie fehlt in der Konfigurationsvorlage für den Administratorcluster

SPBM in Administratorclustern wird in Version 1.28.0 und höher unterstützt. Aber das Feld vCenter.storagePolicyName fehlt in der Konfigurationsdateivorlage.

Workaround:

Fügen Sie das Feld `vCenter.storagePolicyName` in die Konfigurationsdatei für den Administratorcluster ein, wenn Sie die Speicherrichtlinie für den Administratorcluster konfigurieren möchten. Hier finden Sie eine Anleitung.

Kubernetes Metadata API unterstützt VPC-SC nicht

Die kürzlich hinzugefügte API „kubernetesmetadata.googleapis.com“ unterstützt VPC-SC nicht. Daher kann der Agent zum Erfassen von Metadaten unter VPC-SC nicht auf diese API zugreifen. In der Folge fehlen die Metadatenlabels für Messwerte.

Workaround:

Legen Sie im Namespace „kube-system“ die Antwortvorlage „Stackdriver“ fest und setzen Sie das Feld „featureGates.disableExperimentalMetadataAgent“ auf „true“, indem Sie den Befehl ausführen

`kubectl -n kube-system patch stackdriver stackdriver -p '{"spec":{"featureGates":{"disableExperimentalMetadataAgent":true}}}'`

Führen Sie dann diesen Befehl aus:

`kubectl -n kube-system patch deployment stackdriver-operator -p '{"spec":{"template":{"spec":{"containers":[{"name":"stackdriver-operator","env":[{"name":"ENABLE_LEGACY_METADATA_AGENT","value":"true"}]}]}}}}'`

Der clusterapi-Controller kann abstürzen, wenn der Administratorcluster und ein Nutzercluster mit aktiviertem Steuerungsebene v2 unterschiedliche vSphere-Anmeldedaten verwenden.

Wenn ein Administratorcluster und ein Nutzercluster mit aktivierter Steuerungsebene v2 unterschiedliche vSphere-Anmeldedaten verwenden, z.B. nach einer Aktualisierung der vSphere-Anmeldedaten für den Administratorcluster, kann der clusterapi-controller nach einem Neustart möglicherweise keine Verbindung zum vCenter herstellen. Sehen Sie sich das Log des clusterapi-controllers an, der im Namespace `kube-system` des Administratorclusters ausgeführt wird,

kubectl logs -f -l component=clusterapi-controllers -c vsphere-controller-manager \
    -n kube-system --kubeconfig KUBECONFIG

E1214 00:02:54.095668       1 machine_controller.go:165] Error checking existence of machine instance for machine object gke-admin-node-77f48c4f7f-s8wj2: Failed to check if machine gke-admin-node-77f48c4f7f-s8wj2 exists: failed to find datacenter "VSPHERE_DATACENTER": datacenter 'VSPHERE_DATACENTER' not found

Workaround:

Aktualisieren Sie vSphere-Anmeldedaten, damit der Administratorcluster und alle Nutzercluster mit aktivierter Steuerungsebene v2 dieselben vSphere-Anmeldedaten verwenden.

etcd hohe Anzahl von fehlgeschlagenen GRPC-Anfragen im Prometheus Alert Manager

Prometheus kann Benachrichtigungen ähnlich dem folgenden Beispiel melden:

Alert Name: cluster:gke-admin-test1: Etcd cluster kube-system/kube-etcd: 100% of requests for Watch failed on etcd instance etcd-test-xx-n001.

Führen Sie die folgenden Schritte aus, um zu prüfen, ob es sich bei dieser Benachrichtigung um ein falsch-positives Ergebnis handelt, das ignoriert werden kann:

1. Prüfen Sie den Rohmesswert „grpc_server_handled_total“ mit dem in der Warnmeldung angegebenen grpc_method. In diesem Beispiel prüfen Sie das Label grpc_code auf Watch.
   
   Sie können diesen Messwert mit der folgenden MQL-Abfrage in Cloud Monitoring prüfen:

   fetch
       k8s_container | metric 'kubernetes.io/anthos/grpc_server_handled_total' | align rate(1m) | every 1m

2. Eine Benachrichtigung über alle anderen Codes als OK kann bedenkenlos ignoriert werden, wenn der Code nicht zu den folgenden gehört:

   Unknown|FailedPrecondition|ResourceExhausted|Internal|Unavailable|DataLoss|DeadlineExceeded

Workaround:

Wenn Sie Prometheus so konfigurieren möchten, dass diese falsch positiven Benachrichtigungen ignoriert werden, sehen Sie sich die folgenden Optionen an:

1. Warnung stummschalten über die Benutzeroberfläche des Alert Manager.
2. Wenn die Benachrichtigung nicht stummgeschaltet werden kann, gehen Sie so vor, um falsch positive Ergebnisse zu unterdrücken:
   1. Skalieren Sie den Monitoring-Operator auf 0 Replicas herunter, damit die Änderungen beibehalten werden können.
   2. Ändern Sie die ConfigMap prometheus-config und fügen Sie etcdHighNumberOfFailedGRPCRequests der Benachrichtigungskonfiguration grpc_method!="Watch" hinzu, wie im folgenden Beispiel gezeigt:
      • Original:

        rate(grpc_server_handled_total{cluster="CLUSTER_NAME",grpc_code!="OK",job=~".*etcd.*"}[5m])

      • Geändert am:

        rate(grpc_server_handled_total{cluster="CLUSTER_NAME",grpc_code=~"Unknown|FailedPrecondition|ResourceExhausted|Internal|Unavailable|DataLoss|DeadlineExceeded",grpc_method!="Watch",job=~".*etcd.*"}[5m])

        Ersetzen Sie CLUSTER_NAME durch den Namen Ihres Clusters.
   3. Starten Sie das Prometheus- und Alertmanager-Statefulset neu, um die neue Konfiguration zu übernehmen.
3. Wenn der Code in einen der problematischen Fälle fällt, prüfen Sie die Logs von etcd und kube-apiserver, um weitere Fehler zu beheben.

Langlebige NAT-Verbindungen für ausgehenden Traffic werden abgebrochen

NAT-Verbindungen für ausgehenden Traffic können nach 5 bis 10 Minuten nach dem Aufbau der Verbindung abgebrochen werden, wenn kein Traffic vorhanden ist.

Da Conntrack nur für die eingehende Richtung (externe Verbindungen zum Cluster) relevant ist, tritt dieses Problem nur auf, wenn die Verbindung eine Weile keine Informationen überträgt und dann etwas von der Zielseite übertragen wird. Wenn der Pod für ausgehenden NAT-Traffic immer die Benachrichtigung instanziiert, wird dieses Problem nicht auftreten.

Dieses Problem tritt auf, weil die automatische Speicherbereinigung von anetd versehentlich Conntrack-Einträge entfernt, die der Daemon als nicht verwendet betrachtet. Eine Upstream-Korrektur wurde vor Kurzem in anetd integriert, um das Verhalten zu korrigieren.

Workaround:

Es gibt keine einfache Problemumgehung, und wir haben in Version 1.16 keine Probleme mit diesem Verhalten festgestellt. Wenn Sie feststellen, dass langlebige Verbindungen aufgrund dieses Problems getrennt wurden, verwenden Sie zur Problemumgehung eine Arbeitslast auf demselben Knoten wie die IP-Adresse für ausgehenden Traffic oder senden Sie Nachrichten konsistent über die TCP-Verbindung.

Der CSR-Unterzeichner ignoriert spec.expirationSeconds beim Signieren von Zertifikaten

Wenn Sie eine CertificateSigningRequest (CSR) mit expirationSeconds festlegen, wird expirationSeconds ignoriert.

Workaround:

Wenn Sie von diesem Problem betroffen sind, können Sie Ihren Nutzercluster aktualisieren, indem Sie disableNodeIDVerificationCSRSigning: true in der Konfigurationsdatei des Nutzerclusters hinzufügen und den Befehl gkectl update cluster ausführen, um den Cluster mit dieser Konfiguration zu aktualisieren.

Die Validierung des Load-Balancers für den Nutzercluster schlägt für disable_bundled_ingress fehl

Wenn Sie versuchen, gebündelten Ingress für einen vorhandenen Cluster zu deaktivieren, schlägt der Befehl gkectl update cluster mit einem Fehler ähnlich dem folgenden Beispiel fehl:

[FAILURE] Config: ingress IP is required in user cluster spec

Dieser Fehler tritt auf, weil gkectl während der Preflight-Prüfungen nach einer Load Balancer-Ingress-IP-Adresse sucht. Obwohl diese Prüfung nicht erforderlich ist, wenn gebündelter eingehenden Traffic deaktiviert wird, schlagen die gkectl Preflight-Prüfung fehl, wenn disableBundledIngress auf true festgelegt ist.

Workaround:

Verwenden Sie den Parameter --skip-validation-load-balancer, wenn Sie den Cluster aktualisieren, wie im folgenden Beispiel gezeigt:

gkectl update cluster \
  --kubeconfig ADMIN_CLUSTER_KUBECONFIG --config USER_CLUSTER_CONFIG  \
  --skip-validation-load-balancer

Weitere Informationen finden Sie unter Gebündeltes Ingress für einen vorhandenen Cluster deaktivieren.

Administratorcluster-Updates schlagen nach der CA-Rotation fehl

Wenn Sie die CA-Zertifikate eines Administratorclusters rotieren, schlagen nachfolgende Versuche, den Befehl gkectl update admin auszuführen, fehl. Der zurückgegebene Fehler sieht etwa so aus:

failed to get last CARotationStage: configmaps "ca-rotation-stage" not found

Workaround:

Wenn Sie von diesem Problem betroffen sind, können Sie Ihren Administratorcluster aktualisieren, indem Sie das Flag --disable-update-from-checkpoint mit dem gkectl update admin-Befehl verwenden:

gkectl update admin --config ADMIN_CONFIG_file \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
    --disable-update-from-checkpoint

Wenn Sie das Flag --disable-update-from-checkpoint verwenden, wird die Prüfpunktdatei während der Clusteraktualisierung nicht als Hauptdatenquelle verwendet. Die Prüfpunktdatei wird weiterhin für die zukünftige Verwendung aktualisiert.

Preflight-Prüfung der CSI-Arbeitslast schlägt aufgrund eines Pod-Startfehlers fehl

Bei Preflight-Prüfungen wird durch die CSI-Arbeitslast-Validierungsprüfung ein Pod im Namespace default installiert. Der CSI-Arbeitslast-Pod prüft, ob der vSphere CSI-Treiber installiert ist und dynamische Volume-Bereitstellung durchführen kann. Wenn dieser Pod nicht startet, schlägt die CSI-Prüfung der Arbeitslast fehl.

Es gibt einige bekannte Probleme, die verhindern können, dass dieser Pod gestartet wird:

• Wenn für den Pod keine Ressourcenlimits angegeben sind, was bei einigen Clustern mit installierten Zulassungs-Webhooks der Fall ist, wird der Pod nicht gestartet.
• Wenn Cloud Service Mesh im Cluster installiert ist und die automatische Istio-Sidecar-Injektion im Namespace default aktiviert ist, wird der CSI-Arbeitslast-Pod nicht gestartet.

Wenn der CSI-Arbeitslast-Pod nicht startet, wird bei den Preflight-Prüfungen ein Zeitüberschreitungsfehler wie der folgende angezeigt:

- [FAILURE] CSI Workload: failure in CSIWorkload validation: failed to create writer Job to verify the write functionality using CSI: Job default/anthos-csi-workload-writer-<run-id> replicas are not in Succeeded phase: timed out waiting for the condition

Prüfen Sie, ob der Fehler auf zu wenige festgelegte Pod-Ressourcen zurückzuführen ist. Führen Sie dazu den Befehl Befehl „anthos-csi-workload-writer-<run-id>“ aus, um den Jobstatus zu prüfen:

kubectl describe job anthos-csi-workload-writer-<run-id>

Wenn die Ressourcenlimits für den CSI-Arbeitslast-Pod nicht richtig festgelegt sind, enthält der Jobstatus eine Fehlermeldung wie die folgende:

CPU and memory resource limits is invalid, as it are not defined for container: volume-tester

Wenn der CSI-Arbeitslast-Pod aufgrund einer Istio-Sidecar-Einschleusung nicht gestartet wird, können Sie die automatische Istio-Sidecar-Einfügung vorübergehend im default-Namespace deaktivieren. Prüfen Sie die Labels des Namespace und verwenden Sie den folgenden Befehl, um das Label zu löschen, das mit istio.io/rev beginnt:

kubectl label namespace default istio.io/rev-

Wenn der Pod falsch konfiguriert ist, prüfen Sie manuell, ob die dynamische Volume-Bereitstellung mit dem vSphere-CSI-Treiber funktioniert:

1. Erstellen Sie einen PVC, der die StorageClass standard-rwo verwendet.
2. Erstellen Sie einen Pod, der den PVC verwendet.
3. Prüfen Sie, ob der Pod Daten auf das Volume lesen und schreiben kann.
4. Entfernen Sie den Pod und den PVC, nachdem Sie die ordnungsgemäße Funktion bestätigt haben.

Wenn die dynamische Volume-Bereitstellung mit dem vSphere-CSI-Treiber funktioniert, führen Sie gkectl diagnose oder gkectl upgrade mit dem Flag --skip-validation-csi-workload aus, um die CSI-Arbeitslastprüfung zu überspringen.

Zeitüberschreitungen beim Aktualisieren von Nutzerclustern, wenn die Version des Administratorclusters 1.15 ist

Wenn Sie bei einer nutzerverwalteten Administratorworkstation angemeldet sind, kann es vorkommen, dass der Befehl gkectl update cluster eine Zeitüberschreitung verursacht und der Nutzercluster nicht aktualisiert werden kann. Das passiert, wenn die Version des Administratorclusters 1.15 ist und Sie gkectl update admin ausführen, bevor Sie gkectl update cluster ausführen. Wenn dieser Fehler auftritt, erhalten Sie den folgenden Fehler, wenn Sie versuchen, den Cluster zu aktualisieren:

      Preflight check failed with failed to run server-side preflight checks: server-side preflight checks failed: timed out waiting for the condition
Preflight check failed with failed to run server-side preflight checks: server-side preflight checks failed: timed out waiting for the condition
      

Während der Aktualisierung eines Administratorclusters mit Version 1.15 wird der validation-controller, der die Preflight-Prüfungen auslöst, aus dem Cluster entfernt. Wenn Sie dann versuchen, den Nutzercluster zu aktualisieren, bleibt der Preflight-Check hängen, bis die Zeitüberschreitung erreicht ist.

Workaround:

1. Führen Sie den folgenden Befehl aus, um den validation-controller noch einmal bereitzustellen:

         gkectl prepare --kubeconfig ADMIN_KUBECONFIG --bundle-path BUNDLE_PATH --upgrade-platform
         

2. Führen Sie nach Abschluss der Vorbereitung den Befehl gkectl update cluster noch einmal aus, um den Nutzercluster zu aktualisieren.

Zeitüberschreitungen beim Erstellen von Nutzerclustern, wenn die Version des Administratorclusters 1.15 ist

Wenn Sie bei einer nutzerverwalteten Administratorworkstation angemeldet sind, kann es vorkommen, dass der Befehl gkectl create cluster eine Zeitüberschreitung verursacht und der Nutzercluster nicht erstellt werden kann. Das passiert, wenn die Version des Administratorclusters 1.15 ist. Wenn dieser Fehler auftritt, erhalten Sie den folgenden Fehler, wenn Sie versuchen, den Cluster zu erstellen:

      Preflight check failed with failed to run server-side preflight checks: server-side preflight checks failed: timed out waiting for the condition
Preflight check failed with failed to run server-side preflight checks: server-side preflight checks failed: timed out waiting for the condition
      

Da der validation-controller in Version 1.16 hinzugefügt wurde, fehlt bei Verwendung eines Administratorclusters mit Version 1.15 der validation-controller, der für das Auslösen der Preflight-Prüfungen verantwortlich ist. Wenn Sie also versuchen, einen Nutzercluster zu erstellen, bleiben die Preflight-Prüfungen hängen, bis eine Zeitüberschreitung erreicht ist.

Workaround:

1. Führen Sie den folgenden Befehl aus, um den validation-controller bereitzustellen:

         gkectl prepare --kubeconfig ADMIN_KUBECONFIG --bundle-path BUNDLE_PATH --upgrade-platform
         

2. Führen Sie nach Abschluss der Vorbereitung den Befehl gkectl create cluster noch einmal aus, um den Nutzercluster zu erstellen.

Das Update oder das Upgrade des Administratorclusters schlägt fehl, wenn die Projekte oder Standorte der Add-on-Dienste nicht übereinstimmen.

Wenn Sie einen Administratorcluster von Version 1.15.x auf 1.16.x upgraden oder connect-, stackdriver-, cloudAuditLogging- oder gkeOnPremAPI-Konfiguration hinzufügen, wenn Sie einen Administratorcluster aktualisieren, wird der Vorgang möglicherweise vom Administrator-Cluster-Webhook abgelehnt. Möglicherweise wird eine der folgenden Fehlermeldungen angezeigt:

• "projects for connect, stackdriver and cloudAuditLogging must be the same when specified during cluster creation."
• "locations for connect, gkeOnPremAPI, stackdriver and cloudAuditLogging must be in the same region when specified during cluster creation."
• "locations for stackdriver and cloudAuditLogging must be the same when specified during cluster creation."

Eine Aktualisierung oder ein Upgrade des Administratorclusters erfordert, dass onprem-admin-cluster-controller den Administratorcluster in einem Kind-Cluster abgleicht. Wenn der Administratorcluster-Status im Administratorcluster wiederhergestellt wird, kann der Administratorcluster-Webhook nicht unterscheiden, ob das OnPremAdminCluster-Objekt für die Erstellung eines Administratorclusters oder für die Wiederaufnahme von Vorgängen für ein Update oder Upgrade bestimmt ist. Einige Validierungen, die nur für die Erstellung gelten, werden bei Aktualisierungen und Upgrades unerwartet aufgerufen.

Workaround:

Fügen Sie die onprem.cluster.gke.io/skip-project-location-sameness-validation: true-Annotation zum OnPremAdminCluster-Objekt hinzu:

1. Bearbeiten Sie die Clusterressource onpremadminclusters:

   kubectl edit onpremadminclusters ADMIN_CLUSTER_NAME -n kube-system –kubeconfig ADMIN_CLUSTER_KUBECONFIG

   Ersetzen Sie Folgendes:
   • ADMIN_CLUSTER_NAME: Der Name des Administratorclusters.
   • ADMIN_CLUSTER_KUBECONFIG: der Pfad der kubeconfig-Datei des Administratorclusters.
2. Fügen Sie die onprem.cluster.gke.io/skip-project-location-sameness-validation: true-Annotation hinzu und speichern Sie die benutzerdefinierte Ressource.
3. Führen Sie je nach Typ der Administratorcluster einen der folgende Schritte aus:
   • Für Nicht-HA-Administratorcluster mit einer Prüfpunktdatei fügen Sie den Parameter disable-update-from-checkpoint in den Update-Befehl ein, oder fügen Sie den Parameter „disable-upgrade-from-checkpoint“ in den Upgrade-Befehl ein. Diese Parameter sind nur für das nächste Mal erforderlich, wenn Sie den Befehl update oder upgrade ausführen:
     • gkectl update admin --config ADMIN_CONFIG_file --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
         --disable-update-from-checkpoint

     • gkectl upgrade admin --config ADMIN_CONFIG_file --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
         --disable-upgrade-from-checkpoint

   • Bei Hochverfügbarkeits-Administratorclustern oder falls eine Checkpoint-Datei deaktiviert ist: Administratorcluster wie gewohnt aktualisieren oder upgraden. Keine zusätzlichen Parameter sind für die Aktualisierungs- oder Upgradebefehle erforderlich.

Das Löschen von Nutzerclustern schlägt bei Verwendung einer vom Nutzer verwalteten Administratorworkstation fehl

Wenn Sie bei einer nutzerverwalteten Administratorworkstation angemeldet sind, kann es vorkommen, dass der Befehl gkectl delete cluster eine Zeitüberschreitung verursacht und der Nutzercluster nicht gelöscht werden kann. Dies geschieht, wenn Sie zuerst gkectl auf der nutzerverwalteten Workstation ausgeführt haben, um den Nutzercluster zu erstellen, zu aktualisieren oder ein Upgrade durchzuführen. Wenn dieser Fehler auftritt, erhalten Sie den folgenden Fehler, wenn Sie versuchen, den Cluster zu löschen:

      failed to wait for user cluster management namespace "USER_CLUSTER_NAME-gke-onprem-mgmt"
      to be deleted: timed out waiting for the condition
      

Beim Löschen eines Clusters werden zuerst alle zugehörigen Objekte gelöscht. Das Löschen der Validierungsobjekte, die während des Erstellens, Aktualisierens oder Upgradens erstellt wurden, bleibt in der Löschphase hängen. Das passiert, weil ein Finalizer das Löschen des Objekts blockiert, was dazu führt, dass das Löschen des Clusters fehlschlägt.

Workaround:

1. Rufen Sie die Namen aller Validation-Objekte ab:

            kubectl  --kubeconfig ADMIN_KUBECONFIG get validations \
              -n USER_CLUSTER_NAME-gke-onprem-mgmt
           

2. Führen Sie für jedes Validierungsobjekt den folgenden Befehl aus, um den Finalizer aus dem Validation-Objekt zu entfernen:

         kubectl --kubeconfig ADMIN_KUBECONFIG patch validation/VALIDATION_OBJECT_NAME \
           -n USER_CLUSTER_NAME-gke-onprem-mgmt -p '{"metadata":{"finalizers":[]}}' --type=merge
         

   Nachdem Sie den Finalizer aus allen Validation-Objekten entfernt haben, werden die Objekte entfernt und der Löschvorgang für den Nutzercluster wird automatisch abgeschlossen. Sie müssen nichts weiter tun.

Traffic über das NAT-Gateway für ausgehenden Traffic zum externen Server schlägt fehl

Wenn sich der Quell-Pod und der Egress-NAT-Gateway-Pod auf zwei verschiedenen Worker-Knoten befinden, kann der Traffic vom Quell-Pod keine externen Dienste erreichen. Wenn sich die Pods auf demselben Host befinden, wird die Verbindung zum externen Dienst oder zur externen Anwendung hergestellt.

Dieses Problem wird dadurch verursacht, dass vSphere VXLAN-Pakete verwirft, wenn die Tunnelaggregation aktiviert ist. Es gibt ein bekanntes Problem mit NSX und VMware, wobei nur aggregierter Traffic an bekannte VXLAN-Ports (4789) gesendet wird.

Workaround:

Ändern Sie den von Cilium verwendeten VXLAN-Port in 4789:

1. ConfigMap cilium-config bearbeiten:

   kubectl edit cm -n kube-system cilium-config --kubeconfig USER_CLUSTER_KUBECONFIG

2. Fügen Sie der ConfigMap cilium-config Folgendes hinzu:

   tunnel-port: 4789

3. Starten Sie das anetd-DaemonSet neu:

   kubectl rollout restart ds anetd -n kube-system --kubeconfig USER_CLUSTER_KUBECONFIG

Dieser Workaround wird mit jedem Upgrade des Clusters rückgängig gemacht. Sie muss nach jedem Upgrade neu konfiguriert werden. VMware muss das Problem in vSphere beheben, um eine dauerhafte Lösung zu finden.

Das Upgrade eines Administratorclusters mit aktivierter Always-On-Secrets-Verschlüsselung schlägt fehl

Das Upgrade des Administratorclusters von 1.14.x auf 1.15.x mit aktivierter Always-on Secrets-Verschlüsselung schlägt fehl, da der vom Controller generierte Verschlüsselungsschlüssel nicht mit dem Schlüssel übereinstimmt, der auf dem Laufwerk für die Admin-Stammdaten gespeichert ist. Die Ausgabe von gkectl upgrade admin enthält die folgende Fehlermeldung:

      E0926 14:42:21.796444   40110 console.go:93] Exit with error:
      E0926 14:42:21.796491   40110 console.go:93] Failed to upgrade the admin cluster: failed to create admin cluster: failed to wait for OnPremAdminCluster "admin-cluster-name" to become ready: failed to wait for OnPremAdminCluster "admin-cluster-name" to be ready: error: timed out waiting for the condition, message: failed to wait for OnPremAdminCluster "admin-cluster-name" to stay in ready status for duration "2m0s": OnPremAdminCluster "non-prod-admin" is not ready: ready condition is not true: CreateOrUpdateControlPlane: Creating or updating credentials for cluster control plane
      

Die Ausführung von kubectl get secrets -A --kubeconfig KUBECONFIG` schlägt mit dem folgenden Fehler fehl:

      Internal error occurred: unable to transform key "/registry/secrets/anthos-identity-service/ais-secret": rpc error: code = Internal desc = failed to decrypt: unknown jwk
      

Problemumgehung

Wenn Sie eine Sicherung des Administratorclusters haben, führen Sie die folgenden Schritte aus, um den Upgrade-Fehler zu umgehen:

1. Deaktivieren Sie secretsEncryption in der Konfigurationsdatei des Administratorclusters, und aktualisieren Sie den Cluster mit folgendem Befehl:

   gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig KUBECONFIG

2. Wenn die neue Administrator-Master-VM erstellt wurde, stellen Sie eine SSH-Verbindung her und ersetzen Sie den neuen Schlüssel auf dem Datenlaufwerk durch den alten aus der Sicherung. Der Schlüssel befindet sich auf dem Administrator-Master unter /opt/data/gke-k8s-kms-plugin/generatedkeys.
3. Statisches Pod-Manifest kms-plugin.yaml in /etc/kubernetes/manifests aktualisieren, um --kek-id zu aktualisieren, damit es mit dem Feld kid im ursprünglichen Verschlüsselungsschlüssel übereinstimmt.
4. Starten Sie den statischen Pod kms-plugin neu, indem Sie /etc/kubernetes/manifests/kms-plugin.yaml zu einem anderen Verzeichnis verschieben es dann wieder zurück verschieben.
5. Setzen Sie das Administrator-Upgrade fort, indem Sie gkectl upgrade admin noch einmal ausführen.

Upgradefehler vermeiden

Wenn Sie noch kein Upgrade ausgeführt haben, empfehlen wir, kein Upgrade auf 1.15.0 bis 1.15.4 auszuführen. Wenn Sie ein Upgrade auf eine betroffene Version durchführen müssen, führen Sie die folgenden Schritte vor dem Upgrade des Administratorclusters aus:

1. Administratorcluster sichern.
2. Deaktivieren Sie secretsEncryption in der Konfigurationsdatei des Administratorclusters, und aktualisieren Sie den Cluster mit folgendem Befehl:

   gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig KUBECONFIG

3. Administratorcluster aktualisieren.
4. Aktivieren Sie die Always-on-Secret-Verschlüsselung wieder..

Laufwerkfehler und Fehler beim Anhängen, wenn Changed Block Tracking (CBT) verwendet wird

Google Distributed Cloud unterstützt kein Changed Block Tracking (CBT) auf Laufwerken. Einige Sicherungssoftware verwendet die CBT-Funktion, um den Laufwerksstatus zu verfolgen und Sicherungen durchzuführen. Dadurch kann das Laufwerk keine Verbindung zu einer VM herstellen, auf der Google Distributed Cloud ausgeführt wird. Weitere Informationen finden Sie im VMware-KB-Artikel.

Workaround:

Sichern Sie die Google Distributed Cloud-VMs nicht, da Sicherungssoftware von Drittanbietern möglicherweise CBT auf ihren Festplatten aktiviert. Es ist nicht notwendig, diese VMs zu sichern.

Aktivieren Sie CBT nicht auf dem Knoten, da diese Änderung bei Updates oder Upgrades nicht beibehalten wird.

Wenn Sie bereits Laufwerke mit aktiviertem CBT haben, befolgen Sie die Schritte zur Lösung im VMware-Wissensdatenbank-Artikel, um CBT auf dem First-Class-Laufwerk zu deaktivieren.

Datenbeschädigung bei NFSv3, wenn parallele Anhänge an eine freigegebene Datei von mehreren Hosts aus erfolgen

Wenn Sie Nutanix-Speicher-Arrays verwenden, um Ihren Hosts NFSv3-Freigaben zur Verfügung zu stellen, kann es zu Datenbeschädigungen kommen oder Pods werden möglicherweise nicht erfolgreich ausgeführt. Dieses Problem wird durch ein bekanntes Kompatibilitätsproblem zwischen bestimmten VMware- und Nutanix-Versionen verursacht. Weitere Informationen Informationen finden Sie im zugehörigen Artikel in der VMware-Wissensdatenbank.

Workaround:

Der VMware-Wissensdatenbankartikel ist veraltet, da dort angegeben wird, dass es derzeit keine Lösung gibt. Führen Sie zur Behebung dieses Problems ein Update auf die neueste Version von ESXi auf Ihren Hosts und auf die neueste Nutanix-Version auf Ihren Speicher-Arrays durch.

Versionsabweichung zwischen dem Kubelet und der Kubernetes-Steuerungsebene

Bei bestimmten Google Distributed Cloud-Versionen verwendet das Kubelet, das auf den Knoten ausgeführt wird, eine andere Version als die Steuerungsebene von Kubernetes. Es liegt eine Abweichung vor, weil das auf dem Image des Betriebssystems vorinstallierte Kubelet-Binärprogramm eine andere Version verwendet.

In der folgenden Tabelle sind die ermittelten Versionsabweichungen aufgeführt:

Workaround:

Sie müssen nichts tun. Die Inkonsistenz besteht nur zwischen den Kubernetes-Patch-Versionen und es wurden keine Probleme durch diese Versionsabweichung verursacht.

Das Upgraden oder Aktualisieren eines Administratorclusters mit einer CA-Version höher als 1 schlägt fehl

Wenn ein Administratorcluster eine CA-Version größer als 1 hat, schlägt ein Update oder Upgrade aufgrund der CA-Versionsvalidierung im Webhook fehl. Die Ausgabe von gkectl upgrade/update enthält die folgende Fehlermeldung:

    CAVersion must start from 1
    

Workaround:

• Skalieren Sie das Deployment auto-resize-controller im Administratorcluster herunter, um die automatische Größenanpassung von Knoten zu deaktivieren. Dies ist notwendig, da ein neues Feld, das in der benutzerdefinierten Ressource des Administratorclusters in Version 1.15 eingeführt wurde, einen Null-Zeiger-Fehler in auto-resize-controller verursachen kann.

   kubectl scale deployment auto-resize-controller -n kube-system --replicas=0 --kubeconfig KUBECONFIG
        

• Führen Sie gkectl-Befehle mit dem Flag --disable-admin-cluster-webhook aus. Beispiel:

          gkectl upgrade admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig KUBECONFIG --disable-admin-cluster-webhook
          

Löschen von Nicht-HA-Steuerungsebenen-V2-Clustern hängt bis Zeitüberschreitung

Wenn ein Nicht-HA-Steuerungsebenen-V2-Cluster gelöscht wird, bleibt er beim Löschen des Knotens hängen, bis das Zeitlimit überschritten wird.

Workaround:

Wenn der Cluster ein StatefulSet mit kritischen Daten enthält, wenden Sie sich an Cloud Customer Care, um dieses Problem zu beheben.

Gehen Sie andernfalls so vor:

• Löschen Sie alle Cluster-VMs aus vSphere. Sie können die VMs über die vSphere-Benutzeroberfläche löschen oder den folgenden Befehl ausführen:

        govc vm.destroy

  .
• Erzwingen Sie das Löschen des Clusters noch einmal:

       gkectl delete cluster --cluster USER_CLUSTER_NAME --kubeconfig ADMIN_KUBECONFIG --force
       

Konstante CNS-attachvolume-Aufgaben werden für integriertes PVC/PV nach dem Upgrade auf Version 1.15 oder höher jede Minute angezeigt.

Wenn ein Cluster integrierte nichtflüchtige vSphere-Volumes enthält (z. B. PVCs, die mit der StorageClass standard erstellt wurden), werden in vCenter jede Minute com.vmware.cns.tasks.attachvolume-Aufgaben ausgelöst.

Workaround:

Bearbeiten Sie die vSphere CSI-Feature-ConfigMap und legen Sie „list-volumes“ auf „false“ fest:

     kubectl edit configmap internal-feature-states.csi.vsphere.vmware.com -n kube-system --kubeconfig KUBECONFIG
     

Starten Sie die vSphere-CSI-Controller-Pods neu:

     kubectl rollout restart deployment vsphere-csi-controller -n kube-system --kubeconfig KUBECONFIG
    

Falsche Warnungen vor PVCs

Wenn ein Cluster integrierte nichtflüchtige vSphere-Volumes enthält, lösen die Befehle gkectl diagnose und gkectl upgrade beim Validieren der Cluster-Speichereinstellungen möglicherweise falsche Warnungen vor ihren Anforderungen an nichtflüchtigen Volumes (Persistent Volume Claims, PVCs) aus. Die Warnmeldung sieht so aus:

    CSIPrerequisites pvc/pvc-name: PersistentVolumeClaim pvc-name bounds to an in-tree vSphere volume created before CSI migration enabled, but it doesn't have the annotation pv.kubernetes.io/migrated-to set to csi.vsphere.vmware.com after CSI migration is enabled
    

Workaround:

Führen Sie den folgenden Befehl aus, um die Annotationen eines PVC mit der oben genannten Warnung zu prüfen:

    kubectl get pvc PVC_NAME -n PVC_NAMESPACE -oyaml --kubeconfig KUBECONFIG
    

Wenn das Feld annotations in der Ausgabe Folgendes enthält, können Sie die Warnung bedenkenlos ignorieren:

      pv.kubernetes.io/bind-completed: "yes"
      pv.kubernetes.io/bound-by-controller: "yes"
      volume.beta.kubernetes.io/storage-provisioner: csi.vsphere.vmware.com
    

Die Rotation von Dienstkontoschlüsseln schlägt fehl, wenn mehrere Schlüssel abgelaufen sind

Wenn Ihr Cluster keine private Registry verwendet und Ihre Dienstkontenschlüssel für den Komponentenzugriff und das Logging-Monitoring (oder Connect-Register) abgelaufen sind, schlägt gkectl update credentials bei der Rotation der Dienstkontenschlüssel mit einer Fehlermeldung ähnlich der folgenden fehl:

Error: reconciliation failed: failed to update platform: ...

Workaround:

Rotieren Sie zuerst den Dienstkontoschlüssel für den Komponentenzugriff. Obwohl dieselbe Fehlermeldung angezeigt wird, sollten Sie die anderen Schlüssel nach der Rotation des Dienstkontoschlüssels für den Komponentenzugriff rotieren können.

Wenn das Update immer noch nicht erfolgreich ist, wenden Sie sich an Cloud Customer Care, um dieses Problem zu beheben.

1.15 Der Master-Computer des Nutzers stößt auf eine unerwartete Neuerstellung, wenn der Nutzercluster-Controller auf 1.16 aktualisiert wird

Wenn Sie während eines Upgrades eines Nutzerclusters nach dem Upgrade des Nutzercluster-Controllers auf 1.16 andere Nutzercluster haben, die von demselben Administratorcluster verwaltet werden, kann es vorkommen, dass deren Master-Nutzercomputer unerwartet neu erstellt wird.

Es gibt einen Fehler im 1.16-Nutzercluster-Controller, der die Neuerstellung des 1.15-Master-Computers des Nutzers auslösen kann.

Welche Lösung Sie wählen, hängt davon ab, wie das Problem auftritt.

Problemumgehung beim Aktualisieren des Nutzerclusters über die Google Cloud Console:

Option 1: Verwenden Sie Version 1.16.6 oder höher von GKE on VMware mit der Lösung.

Option 2: Führen Sie die folgenden Schritte aus:

1. Fügen Sie die Annotation zum Wiederholen mit dem folgenden Befehl manuell hinzu:

   kubectl edit onpremuserclusters USER_CLUSTER_NAME -n USER_CLUSTER_NAME-gke-onprem-mgmt --kubeconfig ADMIN_KUBECONFIG

   Die Annotation zum Wiederholen lautet:

   onprem.cluster.gke.io/server-side-preflight-rerun: true

2. Überwachen Sie den Upgradefortschritt, indem Sie das Feld status des OnPremUserClusters prüfen.

Problemumgehung beim Upgrade des Nutzerclusters mit Ihrer eigenen Administrator-Workstation:

Option 1: Verwenden Sie Version 1.16.6 oder höher von GKE on VMware mit der Lösung.

Option 2: Führen Sie die folgenden Schritte aus:

1. Fügen Sie die Build-Infodatei /etc/cloud/build.info mit folgendem Inhalt hinzu. Dadurch werden die Preflight-Prüfungen lokal auf Ihrer Administratorworkstation und nicht auf dem Server ausgeführt.

   gke_on_prem_version: GKE_ON_PREM_VERSION

   Beispiel:

   gke_on_prem_version: 1.16.0-gke.669

2. Führen Sie den Upgradebefehl noch einmal aus.
3. Löschen Sie nach Abschluss des Upgrades die Datei „build.info“.

Die Preflight-Prüfung schlägt fehl, wenn der Hostname nicht in der IP-Blockdatei enthalten ist.

Wenn Sie bei der Clustererstellung nicht für jede IP-Adresse in der IP-Blockdatei einen Hostnamen angeben, schlägt die Preflight-Prüfung mit folgender Fehlermeldung fehl:

multiple VMs found by DNS name  in xxx datacenter. Anthos Onprem doesn't support duplicate hostname in the same vCenter and you may want to rename/delete the existing VM.`
    

Aufgrund eines Fehlers wird ein leerer Hostname bei der Preflight-Prüfung als Duplikat betrachtet.

Workaround:

Option 1: Verwenden Sie eine Version mit der Korrektur.

Option 2: Umgehen Sie diese Preflight-Prüfung, indem Sie das Flag --skip-validation-net-config hinzufügen.

Option 3: Für jede IP-Adresse in der IP-Blockdatei einen eindeutigen Hostnamen angeben.

Fehler beim Einbinden von Volumes beim Upgrade oder Update des Administratorclusters, wenn ein Nicht-HA-Administratorcluster und ein Nutzercluster auf Steuerungsebene v1 verwendet werden

Bei einem Nicht-HA-Administratorcluster und einem Nutzercluster auf Steuerungsebene v1 kann es vorkommen, dass bei einem Upgrade oder einer Aktualisierung des Administratorclusters der Neustart des Administratorcluster-Mastercomputers gleichzeitig mit dem Neustart des Nutzercluster-Mastercomputers erfolgt, was zu einer Race-Bedingung führen kann. Dadurch können die Pods der Steuerungsebene des Nutzerclusters nicht mit der Steuerungsebene des Administratorclusters kommunizieren, was zu Problemen beim Anhängen von Volumes für kube-etcd und kube-apiserver auf der Steuerungsebene des Nutzerclusters führt.

Führen Sie die folgenden Befehle für den betroffenen Pod aus, um das Problem zu verifizieren:

kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG --namespace USER_CLUSTER_NAME describe pod IMPACTED_POD_NAME

Events:
  Type     Reason       Age                  From               Message
  ----     ------       ----                 ----               -------
  Warning  FailedMount  101s                 kubelet            Unable to attach or mount volumes: unmounted volumes=[kube-audit], unattached volumes=[], failed to process volumes=[]: timed out waiting for the condition
  Warning  FailedMount  86s (x2 over 3m28s)  kubelet            MountVolume.SetUp failed for volume "pvc-77cd0635-57c2-4392-b191-463a45c503cb" : rpc error: code = FailedPrecondition desc = volume ID: "bd313c62-d29b-4ecd-aeda-216648b0f7dc" does not appear staged to "/var/lib/kubelet/plugins/kubernetes.io/csi/csi.vsphere.vmware.com/92435c96eca83817e70ceb8ab994707257059734826fedf0c0228db6a1929024/globalmount"

Workaround:

1. Stellen Sie eine SSH-Verbindung zu einem Knoten der Nutzersteuerungsebene her. Da es sich um einen Nutzercluster der Steuerungsebene v1 handelt, befindet sich der Knoten der Nutzersteuerungsebene im Administratorcluster.
2. Starten Sie das Kubelet mit dem folgenden Befehl neu:

       sudo systemctl restart kubelet
       

   Nach dem Neustart kann das Kubelet die globale Bereitstellung der Stufe ordnungsgemäß rekonstruieren.

Knoten der Steuerungsebene kann nicht erstellt werden

Während eines Upgrades oder Updates eines Administratorclusters kann eine Race-Bedingung dazu führen, dass der vSphere Cloud Controller-Manager unerwartet einen neuen Knoten der Steuerungsebene löscht. Dies führt dazu, dass der clusterapi-Controller auf die Erstellung des Knotens warten muss und sogar das Upgrade/Update ausfällt. In diesem Fall sieht die Ausgabe des Befehls gkectl upgrade/update ähnlich aus wie die folgende:

    controlplane 'default/gke-admin-hfzdg' is not ready: condition "Ready": condition is not ready with reason "MachineInitializing", message "Wait for the control plane machine "gke-admin-hfzdg-6598459f9zb647c8-0\" to be rebooted"...
    

Führen Sie den folgenden Befehl aus, um das Symptom zu ermitteln und das Log im vSphere Cloud Controller Manager im Administratorcluster abzurufen:

    kubectl get pods --kubeconfig ADMIN_KUBECONFIG -n kube-system | grep vsphere-cloud-controller-manager
    kubectl logs -f vsphere-cloud-controller-manager-POD_NAME_SUFFIX --kubeconfig ADMIN_KUBECONFIG -n kube-system
    

Hier ist ein Beispiel für eine Fehlermeldung des obigen Befehls:

    node name: 81ff17e25ec6-qual-335-1500f723 has a different uuid. Skip deleting this node from cache.
    

Workaround:

1. Starten Sie die ausgefallenene Maschine neu, um das gelöschte Knotenobjekt neu zu erstellen.
2. Stellen Sie eine SSH-Verbindung zu jedem Knoten der Steuerungsebene her und starten Sie den statischen Pod des vSphere Cloud Controller Manager neu:

         sudo crictl ps | grep vsphere-cloud-controller-manager | awk '{print $1}'
         sudo crictl stop PREVIOUS_COMMAND_OUTPUT
         

3. Führen Sie den Upgrade-/Update-Befehl noch einmal aus.

Doppelter Hostname im selben Rechenzentrum führt zu Fehlern beim Cluster-Upgrade oder bei der Clustererstellung

Das Upgraden eines 1.15-Clusters oder das Erstellen eines 1.16-Clusters mit statischen IP-Adressen schlägt fehl, wenn im selben Rechenzentrum doppelte Hostnamen vorhanden sind. Dieser Fehler tritt auf, weil der vSphere Cloud Controller Manager keine externe IP-Adresse und Anbieter-ID zum Knotenobjekt hinzufügen kann. Dies führt zu einer Zeitüberschreitung beim Upgrade oder Erstellen des Clusters.

Rufen Sie zum Identifizieren des Problems die Pod-Logs des vSphere Cloud Controller Manager für den Cluster ab. Welchen Befehl Sie verwenden, hängt vom Clustertyp ab:

• Administratorcluster:

        kubectl get pods --kubeconfig ADMIN_KUBECONFIG -n kube-system | grep vsphere-cloud-controller-manager
        kubectl logs -f vsphere-cloud-controller-manager-POD_NAME_SUFFIX --kubeconfig ADMIN_KUBECONFIG -n kube-system
        

• Nutzercluster mit enableControlplaneV2 false:

        kubectl get pods --kubeconfig ADMIN_KUBECONFIG -n USER_CLUSTER_NAME | grep vsphere-cloud-controller-manager
        kubectl logs -f vsphere-cloud-controller-manager-POD_NAME_SUFFIX --kubeconfig ADMIN_KUBECONFIG -n USER_CLUSTER_NAME
        

• Nutzercluster mit enableControlplaneV2 true:

        kubectl get pods --kubeconfig USER_KUBECONFIG -n kube-system | grep vsphere-cloud-controller-manager
        kubectl logs -f vsphere-cloud-controller-manager-POD_NAME_SUFFIX --kubeconfig USER_KUBECONFIG -n kube-system
        

Hier ist ein Beispiel für eine Fehlermeldung:

    I1003 17:17:46.769676       1 search.go:152] Finding node admin-vm-2 in vc=vcsa-53598.e5c235a1.asia-northeast1.gve.goog and datacenter=Datacenter
    E1003 17:17:46.771717       1 datacenter.go:111] Multiple vms found VM by DNS Name. DNS Name: admin-vm-2
    

Prüfen Sie, ob der Hostname im Rechenzentrum doppelt vorhanden ist:

          export GOVC_DATACENTER=GOVC_DATACENTER
          export GOVC_URL=GOVC_URL
          export GOVC_USERNAME=GOVC_USERNAME
          export GOVC_PASSWORD=GOVC_PASSWORD
          export GOVC_INSECURE=true
          govc find . -type m -guest.hostName HOSTNAME
          

          export GOVC_DATACENTER=mtv-lifecycle-vc01
          export GOVC_URL=https://mtv-lifecycle-vc01.anthos/sdk
          export GOVC_USERNAME=xxx
          export GOVC_PASSWORD=yyy
          export GOVC_INSECURE=true
          govc find . -type m -guest.hostName f8c3cd333432-lifecycle-337-xxxxxxxz
          ./vm/gke-admin-node-6b7788cd76-wkt8g
          ./vm/gke-admin-node-6b7788cd76-99sg2
          ./vm/gke-admin-master-5m2jb
          

Welche Lösung Sie wählen, hängt vom fehlgeschlagenen Vorgang ab.

Workaround für Upgrades:

Führen Sie die Problemumgehung für den entsprechenden Clustertyp aus.

• Nutzercluster:
  1. Aktualisieren Sie den Hostnamen der betroffenen Maschine in „user-ip-block.yaml“ zu einem eindeutigen Namen und lösen Sie ein erzwungenes Update aus:
     

               gkectl update cluster --kubeconfig ADMIN_KUBECONFIG --config NEW_USER_CLUSTER_CONFIG --force
               

  2. gkectl upgrade cluster wiederholen
• Administratorcluster:
  1. Aktualisieren Sie den Hostnamen der betroffenen Maschine in „admin-ip-block.yaml“ zu einem eindeutigen Namen und lösen Sie ein erzwungenes Update aus:
     

               gkectl update admin --kubeconfig ADMIN_KUBECONFIG --config NEW_ADMIN_CLUSTER_CONFIG --force --skip-cluster-ready-check
               

  2. Wenn es sich um einen Administratorcluster ohne Hochverfügbarkeit handelt und Sie feststellen, dass die Administrator-Master-VM einen doppelten Hostnamen verwendet, müssen Sie außerdem Folgendes tun:
     Name der Administrator-Master-Maschine abrufen

               kubectl get machine --kubeconfig ADMIN_KUBECONFIG -owide -A
               

     Administrator-Master-Maschinenobjekt aktualisieren
     Hinweis:: Der NEW_ADMIN_MASTER_HOSTNAME muss mit dem Wert übereinstimmen, den Sie in Schritt 1 in der Datei „admin-ip-block.yaml“ festgelegt haben.
     

               kubectl patch machine ADMIN_MASTER_MACHINE_NAME --kubeconfig ADMIN_KUBECONFIG --type='json' -p '[{"op": "replace", "path": "/spec/providerSpec/value/networkSpec/address/hostname", "value":"NEW_ADMIN_MASTER_HOSTNAME"}]'
               

     Prüfen Sie, ob der Hostname im Administrator-Master-Maschinenobjekt aktualisiert wurde:
     

               kubectl get machine ADMIN_MASTER_MACHINE_NAME --kubeconfig ADMIN_KUBECONFIG -oyaml
               kubectl get machine ADMIN_MASTER_MACHINE_NAME --kubeconfig ADMIN_KUBECONFIG -o jsonpath='{.spec.providerSpec.value.networkSpec.address.hostname}'
               

  3. Führen Sie das Administratorcluster-Upgrade noch einmal mit deaktiviertem Prüfpunkt aus:
     

               gkectl upgrade admin --kubeconfig ADMIN_KUBECONFIG --config ADMIN_CLUSTER_CONFIG --disable-upgrade-from-checkpoint
               

Workaround für Installationen:

Führen Sie die Problemumgehung für den entsprechenden Clustertyp aus.

• Administratorcluster:
  1. Löschen Sie den Computer mit dem Administratorknoten.
  2. Löschen Sie das Datenlaufwerk.
  3. Checkpoint-Datei des Administratorclusters löschen
  4. Aktualisieren Sie den Hostnamen der betroffenen Maschine in „admin-ip-block.yaml“ zu einem eindeutigen Namen.
  5. gkectl create admin wiederholen.
• Nutzercluster:
  1. Ressourcen bereinigen.
  2. Aktualisieren Sie den Hostnamen der betroffenen Maschine in „user-ip-block.yaml“ zu einem eindeutigen Namen.
  3. gkectl create cluster erneut ausführen.

$ und ` werden im vSphere-Nutzernamen oder -Passwort nicht unterstützt

Die folgenden Vorgänge schlagen fehl, wenn der vSphere-Nutzername oder das Passwort $ oder ` enthält:

• Nutzercluster der Version 1.15 mit aktivierter Steuerungsebene V2 auf Version 1.16 aktualisieren
• Hochverfügbarkeits-Administratorcluster (HA) von Version 1.15 auf Version 1.16 aktualisieren
• Nutzercluster der Version 1.16 mit aktivierter Steuerungsebene V2 erstellen
• 1.16-Hochverfügbarkeits-Administratorcluster erstellen

Verwenden Sie eine Version von Google Distributed Cloud ab 1.16.4 mit der Fehlerbehebung oder führen Sie die folgende Problemumgehung durch. Welche Lösung Sie wählen, hängt vom fehlgeschlagenen Vorgang ab.

Workaround für Upgrades:

1. Ändern Sie den vCenter-Nutzernamen oder das -Passwort auf vCenter-Seite, um $ und ` zu entfernen.
2. Aktualisieren Sie den vCenter-Nutzernamen oder das vCenter-Passwort in Ihrer Anmeldedaten-Konfigurationsdatei.
3. Lösen Sie ein erzwungenes Update des Clusters aus.
• Nutzercluster:

          gkectl update cluster --kubeconfig ADMIN_KUBECONFIG --config USER_CLUSTER_CONFIG --force
          

• Administratorcluster:

          gkectl update admin --kubeconfig ADMIN_KUBECONFIG --config ADMIN_CLUSTER_CONFIG --force --skip-cluster-ready-check
          

Workaround für Installationen:

1. Ändern Sie den vCenter-Nutzernamen oder das -Passwort auf vCenter-Seite, um $ und ` zu entfernen.
2. Aktualisieren Sie den vCenter-Nutzernamen oder das vCenter-Passwort in Ihrer Anmeldedaten-Konfigurationsdatei.
3. Führen Sie die Problemumgehung für den entsprechenden Clustertyp aus.
• Administratorcluster:
  1. Löschen Sie den Computer mit dem Administratorknoten.
  2. Löschen Sie das Datenlaufwerk.
  3. Checkpoint-Datei des Administratorclusters löschen
  4. gkectl create admin wiederholen.
• Nutzercluster:
  1. Ressourcen bereinigen.
  2. gkectl create cluster erneut ausführen.

Fehler beim Erstellen von PVCs nach dem Neuerstellen eines Knotens mit demselben Namen

Nachdem ein Knoten gelöscht und dann mit demselben Knotennamen neu erstellt wurde, besteht eine geringe Wahrscheinlichkeit, dass die Erstellung eines nachfolgenden PersistentVolumeClaim (PVC) mit einem Fehler wie dem folgenden fehlschlägt:

    The object 'vim.VirtualMachine:vm-988369' has already been deleted or has not been completely created

Dies wird durch eine Race-Bedingung verursacht, bei der der vSphere CSI-Controller eine entfernte Maschine nicht aus seinem Cache löscht.

Workaround:

Starten Sie die vSphere-CSI-Controller-Pods neu:

    kubectl rollout restart deployment vsphere-csi-controller -n kube-system --kubeconfig KUBECONFIG
    

gkectl repair admin-master gibt einen kubeconfig-Unmarshall-Fehler zurück

Wenn Sie den Befehl gkectl repair admin-master für einen Hochverfügbarkeits-Administratorcluster ausführen, gibt gkectl die folgende Fehlermeldung zurück:

  Exit with error: Failed to repair: failed to select the template: failed to get cluster name from kubeconfig, please contact Google support. failed to decode kubeconfig data: yaml: unmarshal errors:
    line 3: cannot unmarshal !!seq into map[string]*api.Cluster
    line 8: cannot unmarshal !!seq into map[string]*api.Context
  

Workaround:

Fügen Sie dem Befehl das Flag --admin-master-vm-template= hinzu und geben Sie die VM-Vorlage der zu reparierenden Maschine an:

  gkectl repair admin-master --kubeconfig=ADMIN_CLUSTER_KUBECONFIG \
      --config ADMIN_CLUSTER_CONFIG_FILE \
      --admin-master-vm-template=/DATA_CENTER/vm/VM_TEMPLATE_NAME
  

So finden Sie die VM-Vorlage der Maschine:

1. Rufen Sie im vSphere-Client die Seite Hosts und Cluster auf.
2. Klicken Sie auf VM-Vorlagen und filtern Sie nach dem Namen des Administratorclusters.

   Sie sollten die drei VM-Vorlagen für den Administratorcluster sehen.

3. Kopieren Sie den Namen der VM-Vorlage, die dem Namen des Computers entspricht, den Sie reparieren, und verwenden Sie den Vorlagennamen im Reparatur-Befehl.

  gkectl repair admin-master \
      --config=/home/ubuntu/admin-cluster.yaml \
      --kubeconfig=/home/ubuntu/kubeconfig \
      --admin-master-vm-template=/atl-qual-vc07/vm/gke-admin-98g94-zx...7vx-0-tmpl

Seesaw-VM aufgrund von Speicherplatzmangel beschädigt

Wenn Sie Seesaw als Load Balancer-Typ für Ihren Cluster verwenden und feststellen, dass eine Seesaw-VM ausfällt oder nicht mehr hochfährt, sehen Sie möglicherweise die folgende Fehlermeldung in der vSphere Console:

    GRUB_FORCE_PARTUUID set, initrdless boot failed. Attempting with initrd
    

Dieser Fehler deutet darauf hin, dass der Laufwerksspeicher auf der VM knapp ist, weil das auf der Seesaw-VM ausgeführte Fluent-Bit nicht mit der richtigen Log-Rotation konfiguriert ist.

Workaround:

Suchen Sie mit du -sh -- /var/lib/docker/containers/* | sort -rh nach den Logdateien, die den meisten Speicherplatz belegen. Bereinigen Sie die Logdatei mit der größten Größe und starten Sie die VM neu.

Hinweis: Wenn auf die VM nicht zugegriffen werden kann, hängen Sie das Laufwerk an eine funktionierende VM an (z. B. Administratorworkstation), entfernen Sie die Datei vom angehängten Laufwerk und hängen Sie das Laufwerk wieder an die ursprüngliche Seesaw-VM an.

Um zu verhindern, dass das Problem noch einmal auftritt, stellen Sie eine Verbindung zur VM her und ändern Sie die Datei /etc/systemd/system/docker.fluent-bit.service. Fügen Sie --log-opt max-size=10m --log-opt max-file=5 in den Docker-Befehl ein und führen Sie dann systemctl restart docker.fluent-bit.service aus.

Fehler im öffentlichen SSH-Schlüssel des Administrators nach Upgrade oder Update des Administratorclusters

Beim Versuch, ein Upgrade (gkectl upgrade admin) oder eine Aktualisierung (gkectl update admin) eines nicht hochverfügbaren Administratorclusters mit aktiviertem Prüfpunkt durchzuführen, kann das Upgrade oder die Aktualisierung mit Fehlern wie den folgenden fehlschlagen:

Checking admin cluster certificates...FAILURE
    Reason: 20 admin cluster certificates error(s).
Unhealthy Resources:
    AdminMaster clusterCA bundle: failed to get clusterCA bundle on admin master, command [ssh -o IdentitiesOnly=yes -i admin-ssh-key -o StrictHostKeyChecking=no -o ConnectTimeout=30 ubuntu@AdminMasterIP -- sudo cat /etc/kubernetes/pki/ca-bundle.crt] failed with error: exit status 255, stderr: Authorized uses only. All activity may be monitored and reported.
    ubuntu@AdminMasterIP: Permission denied (publickey).

failed to ssh AdminMasterIP, failed with error: exit status 255, stderr: Authorized uses only. All activity may be monitored and reported.
    ubuntu@AdminMasterIP: Permission denied (publickey)

error dialing ubuntu@AdminMasterIP: failed to establish an authenticated SSH connection: ssh: handshake failed: ssh: unable to authenticate, attempted methods [none publickey]...

Workaround:

Wenn Sie nicht auf eine Patchversion von Google Distributed Cloud mit dem Fix aktualisieren können, wenden Sie sich an den Google-Support.

Upgrade eines in der GKE On-Prem API registrierten Administratorclusters kann fehlschlagen

Wenn ein Administratorcluster in der GKE On-Prem API registriert ist, schlägt ein Upgrade des Administratorcluster auf die betroffenen Versionen möglicherweise fehl, da die Flottenmitgliedschaft nicht aktualisiert werden konnte. Wenn dieser Fehler auftritt, erhalten Sie den folgenden Fehler, wenn Sie versuchen, ein Upgrade für den Cluster auszuführen:

    failed to register cluster: failed to apply Hub Membership: Membership API request failed: rpc error: code = InvalidArgument desc = InvalidFieldError for field endpoint.on_prem_cluster.resource_link: field cannot be updated
    

Ein Administratorcluster wird in der API registriert, wenn Sie den Cluster explizit registrieren oder wenn Sie einen Nutzercluster mit einem GKE On-Prem API-Client aktualisieren.

Workaround:

    gcloud alpha container vmware admin-clusters unenroll ADMIN_CLUSTER_NAME --project CLUSTER_PROJECT --location=CLUSTER_LOCATION --allow-missing
    

Die Annotation der Ressourcenverknüpfung des angemeldeten Administratorclusters wird nicht beibehalten

Wenn ein Administratorcluster bei der GKE On-Prem-API angemeldet wird, wird seine Ressource-Link-Annotation auf die benutzerdefinierte OnPremAdminCluster-Ressource angewendet, die bei späteren Administratorcluster-Aktualisierungen nicht erhalten bleibt, da der falsche Annotationsschlüssel verwendet wird. Dies kann dazu führen, dass der Administratorcluster sich versehentlich wieder bei der GKE On-Prem API registriert.

Ein Administratorcluster wird in der API registriert, wenn Sie den Cluster explizit registrieren oder wenn Sie einen Nutzercluster mit einem GKE On-Prem API-Client aktualisieren.

Workaround:

    gcloud alpha container vmware admin-clusters unenroll ADMIN_CLUSTER_NAME --project CLUSTER_PROJECT --location=CLUSTER_LOCATION --allow-missing
    

CoreDNS orderPolicy nicht erkannt

OrderPolicy wird nicht als Parameter erkannt und nicht verwendet. Stattdessen verwendet Google Distributed Cloud immer Random.

Dieses Problem tritt auf, weil die CoreDNS-Vorlage nicht aktualisiert wurde, was dazu führt, dass orderPolicy ignoriert wird.

Workaround:

Aktualisieren Sie die CoreDNS-Vorlage und wenden Sie den Fix an. Diese Korrektur bleibt bis zu einem Upgrade erhalten.

1. Bearbeiten Sie die vorhandene Vorlage:

   kubectl edit cm -n kube-system coredns-template

   Ersetzen Sie den Inhalt der Vorlage durch Folgendes:

   coredns-template: |-
     .:53 {
       errors
       health {
         lameduck 5s
       }
       ready
       kubernetes cluster.local in-addr.arpa ip6.arpa {
         pods insecure
         fallthrough in-addr.arpa ip6.arpa
       }
   {{- if .PrivateGoogleAccess }}
       import zones/private.Corefile
   {{- end }}
   {{- if .RestrictedGoogleAccess }}
       import zones/restricted.Corefile
   {{- end }}
       prometheus :9153
       forward . {{ .UpstreamNameservers }} {
         max_concurrent 1000
         {{- if ne .OrderPolicy "" }}
         policy {{ .OrderPolicy }}
         {{- end }}
       }
       cache 30
   {{- if .DefaultDomainQueryLogging }}
       log
   {{- end }}
       loop
       reload
       loadbalance
   }{{ range $i, $stubdomain := .StubDomains }}
   {{ $stubdomain.Domain }}:53 {
     errors
   {{- if $stubdomain.QueryLogging }}
     log
   {{- end }}
     cache 30
     forward . {{ $stubdomain.Nameservers }} {
       max_concurrent 1000
       {{- if ne $.OrderPolicy "" }}
       policy {{ $.OrderPolicy }}
       {{- end }}
     }
   }
   {{- end }}

Der Status von OnPremAdminCluster ist zwischen dem Prüfpunkt und der tatsächlichen benutzerdefinierten Ressource nicht konsistent.

Bestimmte Race-Bedingungen können dazu führen, dass der OnPremAdminCluster-Status zwischen dem Prüfpunkt und der tatsächlichen Antwortvorlage nicht konsistent ist. Wenn das Problem auftritt, kann die folgende Fehlermeldung auftreten, wenn Sie den Administratorcluster nach dem Upgrade aktualisieren:

Exit with error:
E0321 10:20:53.515562  961695 console.go:93] Failed to update the admin cluster: OnPremAdminCluster "gke-admin-rj8jr" is in the middle of a create/upgrade ("" -> "1.15.0-gke.123"), which must be completed before it can be updated
Failed to update the admin cluster: OnPremAdminCluster "gke-admin-rj8jr" is in the middle of a create/upgrade ("" -> "1.15.0-gke.123"), which must be completed before it can be updated

Abstimmungsprozess ändert Admin-Zertifikate in Administratorclustern

Google Distributed Cloud ändert die Admin-Zertifikate auf Administratorcluster-Steuerebenen bei jedem Abstimmungsprozess, z. B. bei einem Cluster-Upgrade. Dieses Verhalten erhöht die Wahrscheinlichkeit, dass Sie ungültige Zertifikate für Ihren Administratorcluster erhalten, insbesondere für Cluster der Version 1.15.

Wenn Sie von diesem Problem betroffen sind, können Probleme wie die folgenden auftreten:

• Ungültige Zertifikate können zu einer Zeitüberschreitung bei den folgenden Befehlen führen und Fehler zurückgeben:
  • gkectl create admin
  • gkectl upgrade amdin
  • gkectl update admin

  Diese Befehle können Autorisierungsfehler wie die folgenden zurückgeben:

  Failed to reconcile admin cluster: unable to populate admin clients: failed to get admin controller runtime client: Unauthorized

• Die kube-apiserver-Logs für Ihren Administratorcluster enthalten möglicherweise Fehler wie:

  Unable to authenticate the request" err="[x509: certificate has expired or is not yet valid...

Workaround:

Führen Sie ein Upgrade auf eine Version von Google Distributed Cloud mit der Fehlerbehebung durch: 1.13.10+, 1.14.6+, 1.15.2+. Wenn kein Upgrade möglich ist, wenden Sie sich an Cloud Customer Care, um das Problem zu beheben.

Anthos Network Gateway-Komponenten wurden aufgrund fehlender Prioritätsklasse entfernt oder sind ausstehend

Netzwerk-Gateway-Pods in kube-system haben möglicherweise den Status Pending oder Evicted, wie in der folgenden gekürzten Beispielausgabe zu sehen ist:

$ kubectl -n kube-system get pods | grep ang-node
ang-node-bjkkc     2/2     Running     0     5d2h
ang-node-mw8cq     0/2     Evicted     0     6m5s
ang-node-zsmq7     0/2     Pending     0     7h

Diese Fehler weisen auf Räumungsereignisse oder darauf hin, dass Pods aufgrund von Knotenressourcen nicht geplant werden können. Da Anthos Network Gateway-Pods keine PriorityClass haben, haben sie dieselbe Standardpriorität wie andere Arbeitslasten. Wenn Knoten ressourcenbeschränkt sind, werden die Netzwerk-Gateway-Pods möglicherweise entfernt. Dieses Verhalten ist besonders schlecht für das ang-node DaemonSet, da diese Pods auf einem bestimmten Knoten geplant werden müssen und nicht migriert werden können.

Workaround:

Führen Sie ein Upgrade auf Version 1.15 oder höher durch.

Als kurzfristige Lösung können Sie manuell eine PriorityClass zu den Anthos Network Gateway-Komponenten zuweisen. Der Google Distributed Cloud-Controller überschreibt diese manuellen Änderungen während eines Abgleichsprozesses, z. B. bei einem Cluster-Upgrade.

• Weisen Sie die PriorityClass system-cluster-critical den ang-controller-manager- und autoscaler-Cluster Controller-Bereitstellungen zu.
• Weisen Sie die PriorityClass system-node-critical dem ang-daemon-Knoten-DaemonSet zu.

Administratorcluster-Upgrade schlägt nach der Registrierung des Clusters mit gcloud fehl

Nachdem Sie gcloud verwendet haben, um einen Administratorcluster mit einem nicht leeren Abschnitt gkeConnect zu registrieren, wird beim Versuch, ein Upgrade für den Cluster durchzuführen, möglicherweise der folgende Fehler angezeigt:

failed to register cluster: failed to apply Hub Mem\
bership: Membership API request failed: rpc error: code = InvalidArgument desc = InvalidFieldError for field endpoint.o\
n_prem_cluster.admin_cluster: field cannot be updated

Löschen Sie den Namespace gke-connect:

kubectl delete ns gke-connect --kubeconfig=ADMIN_KUBECONFIG

kubectl get onpremadmincluster -n kube-system --kubeconfig=ADMIN_KUBECONFIG

gcloud container fleet memberships delete ADMIN_CLUSTER_NAME

gkectl diagnose snapshot --log-since kann das Zeitfenster für journalctl-Befehle, die auf den Knoten des Clusters ausgeführt werden, nicht begrenzen

Dies hat keinen Einfluss auf die Funktionalität der Erstellung eines Snapshots des Clusters, da der Snapshot weiterhin alle Logs enthält, die standardmäßig durch die Ausführung von journalctl auf den Knoten des Clusters erfasst werden. Daher fehlen keine Debugging-Informationen.

gkectl prepare windows schlägt fehl.

gkectl prepare windows kann Docker nicht auf Google Distributed Cloud-Versionen vor 1.13 installieren, weil MicrosoftDockerProvider eingestellt wurde.

Workaround:

In der Regel lässt sich dieses Problem durch ein Upgrade auf Google Distributed Cloud 1.13 und die Verwendung des 1.13 gkectl zur Erstellung einer Windows VM-Vorlage und der anschließenden Erstellung von Windows-Knotenpools umgehen. Es gibt zwei Möglichkeiten, um von Ihrer aktuellen Version zu Google Distributed Cloud 1.13 zu gelangen (siehe unten).

Hinweis: Wir haben verschiedene Möglichkeiten, dieses Problem in Ihrer aktuellen Version zu umgehen, ohne ein Upgrade auf Version 1.13 ausführen zu müssen. Dafür sind jedoch mehr manuelle Schritte erforderlich. Bitte wenden Sie sich an unser Supportteam, wenn Sie diese Option in Betracht ziehen.

Option 1: Blau/Grün-Upgrade

Sie können einen neuen Cluster mit Google Distributed Cloud Version 1.13 oder höher und Windows-Knotenpools erstellen und die Arbeitslasten auf den neuen Cluster migrieren und dann den aktuellen Cluster bereinigen. Es wird empfohlen, die neueste Nebenversion von Google Distributed Cloud zu verwenden.

Hinweis: Dies erfordert zusätzliche Ressourcen für die Bereitstellung des neuen Clusters, aber dafür entstehen weniger Ausfallzeiten und Unterbrechungen für bestehende Arbeitslasten.

Option 2: Windows-Knotenpools löschen und wieder hinzufügen, wenn ein Upgrade auf Google Distributed Cloud 1.13 durchgeführt wird.

Hinweis: Bei dieser Option können die Windows-Arbeitslasten erst ausgeführt werden, wenn der Cluster auf Version 1.13 aktualisiert und die Windows-Knotenpools wieder hinzugefügt wurden.

1. Löschen Sie die vorhandenen Windows-Knotenpools, indem Sie die Konfiguration der Windows-Knotenpools aus der Datei user-cluster.yaml entfernen, und führen Sie dann den folgenden Befehl aus:

   gkectl update cluster --kubeconfig=ADMIN_KUBECONFIG --config USER_CLUSTER_CONFIG_FILE

2. Führen Sie ein Upgrade der Linux-Administrator- und Nutzercluster auf 1.12 gemäß dem Upgrade-Nutzerhandbuch für die entsprechende Ziel-Nebenversion durch.
3. (Diesen Schritt vor dem Upgrade auf 1.13 ausführen) Achten Sie darauf, dass enableWindowsDataplaneV2: true in der OnPremUserCluster-CR konfiguriert ist. Andernfalls verwendet der Cluster weiterhin Docker für Windows-Knotenpools, was nicht mit der neu erstellten Windows-VM-Vorlage von Version 1.13 kompatibel ist, auf der Docker nicht installiert ist. Wenn der Cluster nicht konfiguriert oder auf „false“ gesetzt ist, aktualisieren Sie ihn, indem Sie ihn in „user-cluster.yaml“ auf „true“ setzen. Führen Sie dann Folgendes aus:

   gkectl update cluster --kubeconfig=ADMIN_KUBECONFIG --config USER_CLUSTER_CONFIG_FILE

4. Führen Sie ein Upgrade der Linux-Administrator- und Nutzercluster auf 1.13 gemäß dem Upgrade-Nutzerhandbuch durch.
5. Bereiten Sie die Windows-VM-Vorlage mit 1.13 gkectl vor:

   gkectl prepare windows --base-vm-template BASE_WINDOWS_VM_TEMPLATE_NAME --bundle-path 1.13_BUNDLE_PATH --kubeconfig=ADMIN_KUBECONFIG

6. Fügen Sie die Windows-Knotenpoolkonfiguration in user-cluster.yaml ein und legen Sie das Feld OSImage auf die neu erstellte Windows-VM-Vorlage fest.
7. Cluster aktualisieren, um Windows-Knotenpools hinzuzufügen

   gkectl update cluster --kubeconfig=ADMIN_KUBECONFIG --config USER_CLUSTER_CONFIG_FILE

Die RootDistanceMaxSec-Konfiguration wird für ubuntu-Knoten nicht übernommen.

Auf den Knoten wird der Standardwert von 5 Sekunden für RootDistanceMaxSec verwendet, anstatt 20 Sekunden, was der erwarteten Konfiguration entsprechen sollte. Wenn Sie das Log für den Start des Knotens per SSH in der VM prüfen, das sich unter „/var/log/startup.log“ befindet, können Sie den folgenden Fehler finden:

+ has_systemd_unit systemd-timesyncd
/opt/bin/master.sh: line 635: has_systemd_unit: command not found

Die Verwendung eines 5-Sekunden-RootDistanceMaxSec kann dazu führen, dass die Systemuhr nicht mehr mit dem NTP-Server synchronisiert ist, wenn die Abweichung der Uhr größer als 5 Sekunden ist.

Workaround:

Wenden Sie das folgende DaemonSet auf Ihren Cluster an, um RootDistanceMaxSec zu konfigurieren:

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: change-root-distance
  namespace: kube-system
spec:
  selector:
    matchLabels:
      app: change-root-distance
  template:
    metadata:
      labels:
        app: change-root-distance
    spec:
      hostIPC: true
      hostPID: true
      tolerations:
      # Make sure pods gets scheduled on all nodes.
      - effect: NoSchedule
        operator: Exists
      - effect: NoExecute
        operator: Exists
      containers:
      - name: change-root-distance
        image: ubuntu
        command: ["chroot", "/host", "bash", "-c"]
        args:
        - |
          while true; do
            conf_file="/etc/systemd/timesyncd.conf.d/90-gke.conf"
            if [ -f $conf_file ] && $(grep -q "RootDistanceMaxSec=20" $conf_file); then
              echo "timesyncd has the expected RootDistanceMaxSec, skip update"
            else
              echo "updating timesyncd config to RootDistanceMaxSec=20"
              mkdir -p /etc/systemd/timesyncd.conf.d
              cat > $conf_file << EOF
          [Time]
          RootDistanceMaxSec=20
          EOF
              systemctl restart systemd-timesyncd
            fi
            sleep 600
          done
        volumeMounts:
        - name: host
          mountPath: /host
        securityContext:
          privileged: true
      volumes:
      - name: host
        hostPath:
          path: /

gkectl update admin schlägt aufgrund eines leeren Felds osImageType fehl

Wenn Sie die Version 1.13 gkectl verwenden, um einen Administratorcluster der Version 1.12 zu aktualisieren, wird möglicherweise der folgende Fehler angezeigt:

Failed to update the admin cluster: updating OS image type in admin cluster
is not supported in "1.12.x-gke.x"

Wenn Sie gkectl update admin für Version 1.13- oder 1.14-Cluster verwenden, wird in der Antwort möglicherweise die folgende Meldung angezeigt:

Exit with error:
Failed to update the cluster: the update contains multiple changes. Please
update only one feature at a time

Wenn Sie das Log von gkectl prüfen, sehen Sie möglicherweise, dass zu den mehrfachen Änderungen das Setzen von osImageType von einem leeren String auf ubuntu_containerd gehört.

Diese Aktualisierungsfehler sind darauf zurückzuführen, dass das Feld osImageType in der Administratorcluster-Konfiguration seit seiner Einführung in Version 1.9 nicht mehr korrekt ausgefüllt wurde.

Workaround:

Führen Sie ein Upgrade auf eine Version von Google Distributed Cloud mit der Fehlerbehebung durch. Wenn ein Upgrade für Sie nicht möglich ist, wenden Sie sich an den Cloud Customer Care, um dieses Problem zu lösen.

SNI funktioniert nicht auf Nutzerclustern mit Steuerungsebene V2

Die Möglichkeit, ein zusätzliches Bereitstellungszertifikat für den Kubernetes API-Server eines Nutzerclusters mit authentication.sni bereitzustellen, funktioniert nicht, wenn die Steuerungsebene V2 aktiviert ist ( enableControlplaneV2: true).

Workaround:

Bis ein Google Distributed Cloud-Patch mit der Fehlerbehebung verfügbar ist, sollten Sie, wenn Sie SNI verwenden müssen, die Steuerungsebene V2 deaktivieren (enableControlplaneV2: false).

$ im Nutzernamen der privaten Registry führt zu einem Fehler beim Starten der Maschine der Administrator-Steuerungsebene

Die Maschine der Administrator-Steuerungsebene kann nicht gestartet werden, wenn der Nutzername der privaten Registry $ enthält. Wenn Sie das /var/log/startup.log auf der Maschine der Administrator-Steuerungsebene prüfen, wird der folgende Fehler angezeigt:

++ REGISTRY_CA_CERT=xxx
++ REGISTRY_SERVER=xxx
/etc/startup/startup.conf: line 7: anthos: unbound variable

Workaround:

Verwenden Sie einen privaten Registry-Nutzernamen ohne $ oder eine Version von Google Distributed Cloud mit der Fehlerbehebung.

Falsch positive Warnungen zu nicht unterstützten Änderungen während der Aktualisierung des Administratorclusters

Wenn Sie Administratorcluster aktualisieren, sehen Sie die folgenden falsch positiven Warnungen im Log und können diese ignorieren.

    console.go:47] detected unsupported changes: &v1alpha1.OnPremAdminCluster{
      ...
      -         CARotation:        &v1alpha1.CARotationConfig{Generated: &v1alpha1.CARotationGenerated{CAVersion: 1}},
      +         CARotation:        nil,
      ...
    }

Aktualisierung des Nutzerclusters nach der Rotation der KSA-Signaturschlüssel fehlgeschlagen

Nach der Rotation der KSA-Signaturschlüssel und der anschließenden Aktualisierung der Nutzercluster, schlägt gkectl update möglicherweise mit der folgenden Fehlermeldung fehl:

Failed to apply OnPremUserCluster 'USER_CLUSTER_NAME-gke-onprem-mgmt/USER_CLUSTER_NAME':
admission webhook "vonpremusercluster.onprem.cluster.gke.io" denied the request:
requests must not decrement *v1alpha1.KSASigningKeyRotationConfig Version, old version: 2, new version: 1"

Workaround:

1. Prüfen Sie das Secret im Administratorcluster im Namespace USER_CLUSTER_NAME und rufen Sie den Namen des Secrets „ksa-signing-key“ ab:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME get secrets | grep ksa-signing-key

2. Kopieren Sie das Secret „ksa-signing-key“ und nennen Sie es „service-account-cert“:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME get secret KSA-KEY-SECRET-NAME -oyaml | \
   sed 's/ name: .*/ name: service-account-cert/' | \
   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME apply -f -

3. Löschen Sie das vorherige Secret „ksa-signing-key“:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME delete secret KSA-KEY-SECRET-NAME

4. Ändern Sie das Feld data.data in der ConfigMap „ksa-signing-key-rotation-stage“ in '{"tokenVersion":1,"privateKeyVersion":1,"publicKeyVersions":[1]}':

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME \
   edit configmap ksa-signing-key-rotation-stage

5. Deaktivieren Sie den Validierungs-Webhook, um die Versionsinformationen in der benutzerdefinierten OnPremUserCluster-Ressource zu bearbeiten:

   kubectl --kubeconfig=ADMIN_KUBECONFIG patch validatingwebhookconfiguration onprem-user-cluster-controller -p '
   webhooks:
   - name: vonpremnodepool.onprem.cluster.gke.io
     rules:
     - apiGroups:
       - onprem.cluster.gke.io
       apiVersions:
       - v1alpha1
       operations:
       - CREATE
       resources:
       - onpremnodepools
   - name: vonpremusercluster.onprem.cluster.gke.io
     rules:
     - apiGroups:
       - onprem.cluster.gke.io
       apiVersions:
       - v1alpha1
       operations:
       - CREATE
       resources:
       - onpremuserclusters
   '

6. Ändern Sie das Feld spec.ksaSigningKeyRotation.generated.ksaSigningKeyRotation in der benutzerdefinierten OnPremUserCluster-Ressource in 1:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME-gke-onprem-mgmt \
   edit onpremusercluster USER_CLUSTER_NAME

7. Warten Sie, bis der Zielnutzercluster bereit ist. Sie können den Status prüfen:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=USER_CLUSTER_NAME-gke-onprem-mgmt \
   get onpremusercluster

8. Stellen Sie den Validierungs-Webhook für den Nutzercluster wieder her:

   kubectl --kubeconfig=ADMIN_KUBECONFIG patch validatingwebhookconfiguration onprem-user-cluster-controller -p '
   webhooks:
   - name: vonpremnodepool.onprem.cluster.gke.io
     rules:
     - apiGroups:
       - onprem.cluster.gke.io
       apiVersions:
       - v1alpha1
       operations:
       - CREATE
       - UPDATE
       resources:
       - onpremnodepools
   - name: vonpremusercluster.onprem.cluster.gke.io
     rules:
     - apiGroups:
       - onprem.cluster.gke.io
       apiVersions:
       - v1alpha1
       operations:
       - CREATE
       - UPDATE
       resources:
       - onpremuserclusters
   '

9. Vermeiden Sie eine weitere Rotation des KSA-Signaturschlüssels, bis für den Cluster ein Upgrade auf die Version mit der Korrektur durchgeführt wurde.

Virtuelle F5 BIG-IP-Server werden nicht bereinigt, wenn Nutzercluster von Terraform gelöscht werden

Wenn Sie Terraform zum Löschen eines Nutzerclusters mit einem F5 BIG-IP Load Balancer verwenden, werden die virtuellen F5 BIG-IP Server nach dem Löschen des Clusters nicht entfernt.

Workaround:

Führen Sie zum Entfernen der F5-Ressourcen die Schritte zum Bereinigen einer Nutzercluster-F5-Partition aus

Kind-Cluster ruft die Container-Images von docker.io ab

Wenn Sie einen Administratorcluster der Version 1.13.8 oder Version 1.14.4 erstellen oder ein Upgrade des Administratorclusters auf Version 1.13.8 oder 1.14.4 durchführen, ruft der Kind-Clusters folgende Container-Images aus docker.io ab:

Wenn Sie von Ihrer Administratorworkstation aus nicht auf docker.io zugreifen können, wird bei der Erstellung oder dem Upgrade des Administratorclusters der Kind-Cluster nicht gestartet. Wenn Sie den folgenden Befehl auf der Administratorworkstation ausführen, werden die entsprechenden Container mit ausstehendem ErrImagePull angezeigt:

docker exec gkectl-control-plane kubectl get pods -A

Die Antwort enthält Einträge wie die folgenden:

...
kube-system         kindnet-xlhmr                             0/1
    ErrImagePull  0    3m12s
...
local-path-storage  local-path-provisioner-86666ffff6-zzqtp   0/1
    Pending       0    3m12s
...

Diese Container-Images sollten vorab in das Container-Image des Kind-Cluster geladen werden. Allerdings hat Kind v0.18.0 ein Problem mit den vorinstallierten Container-Images, wodurch sie versehentlich aus dem Internet geladen werden.

Workaround:

Führen Sie die folgenden Befehle auf der Administratorworkstation aus, während bei Ihrem Administratorcluster die Erstellung oder das Upgrade aussteht:

docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/kindnetd:v20230330-48f316cd@sha256:c19d6362a6a928139820761475a38c24c0cf84d507b9ddf414a078cf627497af docker.io/kindest/kindnetd:v20230330-48f316cd
docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/kindnetd:v20230330-48f316cd@sha256:c19d6362a6a928139820761475a38c24c0cf84d507b9ddf414a078cf627497af docker.io/kindest/kindnetd@sha256:c19d6362a6a928139820761475a38c24c0cf84d507b9ddf414a078cf627497af

docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/local-path-helper:v20230330-48f316cd@sha256:135203f2441f916fb13dad1561d27f60a6f11f50ec288b01a7d2ee9947c36270 docker.io/kindest/local-path-helper:v20230330-48f316cd
docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/local-path-helper:v20230330-48f316cd@sha256:135203f2441f916fb13dad1561d27f60a6f11f50ec288b01a7d2ee9947c36270 docker.io/kindest/local-path-helper@sha256:135203f2441f916fb13dad1561d27f60a6f11f50ec288b01a7d2ee9947c36270

docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/local-path-provisioner:v0.0.23-kind.0@sha256:f2d0a02831ff3a03cf51343226670d5060623b43a4cfc4808bd0875b2c4b9501 docker.io/kindest/local-path-provisioner:v0.0.23-kind.0
docker exec gkectl-control-plane ctr -n k8s.io images tag docker.io/kindest/local-path-provisioner:v0.0.23-kind.0@sha256:f2d0a02831ff3a03cf51343226670d5060623b43a4cfc4808bd0875b2c4b9501 docker.io/kindest/local-path-provisioner@sha256:f2d0a02831ff3a03cf51343226670d5060623b43a4cfc4808bd0875b2c4b9501

Fehlgeschlagener Failover auf dem Nutzercluster und dem Administratorcluster der HA Steuerungsebene v2, wenn das Netzwerk doppelte GARP-Anfragen herausfiltert

Wenn Ihre Cluster-VMs mit einem Switch verbunden sind, der doppelte GARP-Anfragen (Gratuitous ARP) herausfiltert, kann bei der Keepalive-Leader-Auswahl eine Race-Bedingung auftreten, die dazu führt, dass einige Knoten falsche ARP-Tabelleneinträge enthalten.

Die betroffenen Knoten können die virtuelle IP-Adresse der Steuerungsebene ping, jedoch wird es bei einer TCP-Verbindung zur virtuellen IP-Adresse der Steuerungsebene eine Zeitüberschreitung geben.

Workaround:

    iptables -I FORWARD -i ens192 --destination CONTROL_PLANE_VIP -j DROP
    

vsphere-csi-controller muss nach der vCenter-Zertifikatsrotation neu gestartet werden

vsphere-csi-controller sollte sein vCenter-Secret nach der vCenter-Zertifikatsrotation aktualisieren. Das aktuelle System startet die Pods von vsphere-csi-controller jedoch nicht richtig neu, sodass vsphere-csi-controller nach der Rotation abstürzt.

Workaround:

Für Cluster, die in Version 1.13 und höher erstellt wurden, folgen Sie der Anleitung unten, um vsphere-csi-controller neu zu starten.

kubectl --kubeconfig=ADMIN_KUBECONFIG rollout restart deployment vsphere-csi-controller -n kube-system

Fehler bei der Clusterregistrierung führen nicht dazu, dass die Erstellung des Administratorclusters fehlschlägt.

Auch wenn die Clusterregistrierung während der Erstellung des Administratorclusters fehlschlägt, schlägt der Befehl gkectl create admin bei dem Fehler nicht fehl und wird möglicherweise erfolgreich sein. Mit anderen Worten, die Erstellung des Administratorclusters könnte „erfolgreich“ sein, ohne bei einer Flotte registriert zu sein.

Failed to register admin cluster

Sie können auch prüfen, ob der Cluster in der Cloud Console unter Registrierte Cluster aufgeführt ist.

Workaround:

Für Cluster, die in Version 1.12 und höher erstellt wurden, folgen Sie nach der Clustererstellung der Anleitung zum erneuten Registrieren des Administratorclusters. Bei Clustern, die in früheren Versionen erstellt wurden,

1. hängen Sie ein falsches Schlüssel/Wert-Paar wie „foo: bar“ an Ihre Connect-Register-SA-Schlüsseldatei an.
2. Führen Sie gkectl update admin aus, um den Administratorcluster noch einmal zu registrieren.

Die erneute Registrierung des Administratorclusters wird während des Upgrades des Administratorclusters möglicherweise übersprungen

Wenn beim Upgrade des Administratorclusters das Upgrade der Knoten der Nutzersteuerungsebene ein Zeitlimit überschreitet, wird der Administratorcluster nicht mit der aktualisierten Connect-Agent-Version neu registriert.

Workaround:

1. hängen Sie ein falsches Schlüssel/Wert-Paar wie „foo: bar“ an Ihre Connect-Register-SA-Schlüsseldatei an.
2. Führen Sie gkectl update admin aus, um den Administratorcluster noch einmal zu registrieren.

Falsche Fehlermeldung zu vCenter.dataDisk

Für einen Hochverfügbarkeits-Administratorcluster zeigt gkectl prepare diese falsche Fehlermeldung:

vCenter.dataDisk must be present in the AdminCluster spec

Workaround:

Sie können dieses Fehlermeldung einfach ignorieren.

Knotenpool kann aufgrund redundanter VM-Host-Affinitätsregeln nicht erstellt werden

Bei der Erstellung eines Knotenpools, der VM-Host-Affinität verwendet, kann eine Race-Bedingung dazu führen, dass mehrere VM-Host-Affinitätsregeln mit demselben Namen erstellt werden. Dies kann dazu führen, dass die Erstellung des Knotenpools fehlschlägt.

Workaround:

Entfernen Sie die alten redundanten Regeln, damit die Erstellung des Knotenpools fortgesetzt werden kann. Diese Regeln haben die Namen [USER_CLUSTER_NAME]–[HASH].

gkectl repair admin-master kann aufgrund von failed to delete the admin master node object and reboot the admin master VM fehlschlagen

Der Befehl gkectl repair admin-master kann aufgrund einer Race-Bedingung mit dem folgenden Fehler fehlschlagen.

Failed to repair: failed to delete the admin master node object and reboot the admin master VM

Workaround:

Dieser Befehl ist idempotent. Er kann sicher noch einmal ausgeführt werden, bis der Befehl erfolgreich ist.

Pods bleiben nach der Neuerstellung oder Aktualisierung eines Knotens auf der Steuerungsebene im Status „Fehlgeschlagen“.

Nachdem Sie einen Knoten auf der Steuerungsebene neu erstellt oder aktualisiert haben, können bestimmte Pods aufgrund eines NodeAffinity-Prädikatsfehlers im Failed-Zustand verbleiben. Diese fehlgeschlagenen Pods haben keine Auswirkungen auf den normalen Clusterbetrieb oder den Clusterzustand.

Workaround:

Sie können die fehlgeschlagenen Pods ignorieren oder manuell löschen.

OnPremUserCluster ist aufgrund von Anmeldedaten für die private Registry nicht bereit

Wenn Sie vorbereitete Anmeldedaten und eine private Registry verwenden, aber keine vorbereiteten Anmeldedaten für Ihre private Registry konfiguriert haben, ist der OnPremUserCluster möglicherweise nicht bereit und möglicherweise wird die folgende Fehlermeldung angezeigt:

failed to check secret reference for private registry …

Workaround:

Bereiten Sie die Anmeldedaten der privaten Registry für den Nutzercluster entsprechend der Anweisungen in Vorbereitete Anmeldedaten konfigurieren vor.

gkectl upgrade admin schlägt mit StorageClass standard sets the parameter diskformat which is invalid for CSI Migration fehl

Während gkectl upgrade admin prüft der Preflight-Check des Speichers für die CSI-Migration, ob die StorageClasses keine Parameter haben, die nach der CSI-Migration ignoriert werden. Wenn es beispielsweise eine StorageClass mit dem Parameter diskformat gibt, kennzeichnet gkectl upgrade admin die StorageClass und meldet einen Fehler bei der Preflight-Validierung. Administratorcluster, die in Google Distributed Cloud 1.10 und davor erstellt wurden, haben eine Speicherklasse mit diskformat: thin, bei der diese Validierung fehlschlägt, aber diese Speicherklasse funktioniert nach der CSI-Migration ordnungsgemäß. Diese Fehler sollten stattdessen als Warnungen interpretiert werden.

Weitere Informationen finden Sie im Abschnitt zu StorageClass-Parametern unter In-Tree-vSphere-Volumes zum vSphere Container Storage Plug-in migrieren.

Workaround:

Nachdem Sie geprüft haben, ob Ihr Cluster eine Speicherklasse mit Parametern hat, die nach der CSI-Migration ignoriert werden, führen Sie gkectl upgrade admin mit dem Flag --skip-validation-cluster-health aus.

Migrierte integrierte vSphere-Volumes, die das Windows-Dateisystem verwenden, können nicht mit dem vSphere-CSI-Treiber verwendet werden.

Unter bestimmten Bedingungen können Laufwerke als schreibgeschützt an Windows-Knoten angehängt werden. Das entsprechende Volume ist dann in einem Pod schreibgeschützt. Dieses Problem tritt eher auf, wenn eine neue Gruppe von Knoten eine alte Gruppe von Knoten ersetzt, z. B. bei einem Cluster-Upgrade oder einem Knotenpool-Update. Zustandsorientierte Arbeitslasten, die zuvor gut funktioniert haben, können möglicherweise nicht in ihre Volumes auf dem neuen Knotensatz schreiben.

Workaround:

1. Rufen Sie die UID des Pods ab, der nicht in das zugehörige Volume schreiben kann:

   kubectl --kubeconfig USER_CLUSTER_KUBECONFIG get pod \
       POD_NAME --namespace POD_NAMESPACE \
       -o=jsonpath='{.metadata.uid}{"\n"}'

2. Rufen Sie mit dem PersistentVolumeClaim den Namen des PersistentVolume ab:

   kubectl --kubeconfig USER_CLUSTER_KUBECONFIG get pvc \
       PVC_NAME --namespace POD_NAMESPACE \
       -o jsonpath='{.spec.volumeName}{"\n"}'

3. Ermitteln Sie den Namen des Knotens, auf dem der Pod ausgeführt wird:

   kubectl --kubeconfig USER_CLUSTER_KUBECONFIGget pods \
       --namespace POD_NAMESPACE \
       -o jsonpath='{.spec.nodeName}{"\n"}'

4. Rufen Sie den PowerShell-Zugriff auf den Knoten entweder über SSH oder über die vSphere-Weboberfläche ab.
5. Legen Sie Umgebungsvariablen fest:

   PS C:\Users\administrator> pvname=PV_NAME
   PS C:\Users\administrator> podid=POD_UID

6. Ermitteln Sie die Nummer des Laufwerks, das mit PersistentVolume verknüpft ist:

   PS C:\Users\administrator> disknum=(Get-Partition -Volume (Get-Volume -UniqueId ("\\?\"+(Get-Item (Get-Item
   "C:\var\lib\kubelet\pods\$podid\volumes\kubernetes.io~csi\$pvname\mount").Target).Target))).DiskNumber

7. Prüfen Sie, ob das Laufwerk readonly ist:

   PS C:\Users\administrator> (Get-Disk -Number $disknum).IsReadonly

   Das Ergebnis sollte in etwa so aussehen: True.
8. Setzen Sie readonly auf false.

   PS C:\Users\administrator> Set-Disk -Number $disknum -IsReadonly $false
   PS C:\Users\administrator> (Get-Disk -Number $disknum).IsReadonly

9. Löschen Sie den Pod, damit er neu gestartet wird:

   kubectl --kubeconfig USER_CLUSTER_KUBECONFIG delete pod POD_NAME \
       --namespace POD_NAMESPACE

10. Der Pod sollte für denselben Knoten geplant werden. Für den Fall, dass der Pod auf einem neuen Knoten geplant wird, müssen Sie die vorangegangenen Schritte auf dem neuen Knoten wiederholen.

vsphere-csi-secret wird nach dem gkectl update credentials vsphere --admin-cluster nicht aktualisiert

Wenn Sie die vSphere-Anmeldedaten für einen Administratorcluster nach der Aktualisierung der Clusteranmeldedaten aktualisieren, verwendet vsphere-csi-secret im kube-system-Namespace im Administratorcluster möglicherweise weiterhin die alten Anmeldedaten.

Workaround:

1. Rufen Sie den Namen des Secrets vsphere-csi-secret ab:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=kube-system get secrets | grep vsphere-csi-secret

2. Aktualisieren Sie die Daten des Secrets vsphere-csi-secret, das Sie im vorherigen Schritt abgerufen haben:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=kube-system patch secret CSI_SECRET_NAME -p \
     "{\"data\":{\"config\":\"$( \
       kubectl --kubeconfig=ADMIN_KUBECONFIG -n=kube-system get secrets CSI_SECRET_NAME -ojsonpath='{.data.config}' \
         | base64 -d \
         | sed -e '/user/c user = \"VSPHERE_USERNAME_TO_BE_UPDATED\"' \
         | sed -e '/password/c password = \"VSPHERE_PASSWORD_TO_BE_UPDATED\"' \
         | base64 -w 0 \
       )\"}}"

3. Starten Sie vsphere-csi-controller neu:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=kube-system rollout restart deployment vsphere-csi-controller

4. Sie können den Roll-out-Status mit dem folgenden Befehl verfolgen:

   kubectl --kubeconfig=ADMIN_KUBECONFIG -n=kube-system rollout status deployment vsphere-csi-controller

   Nach der erfolgreichen Bereitstellung sollte der Controller das aktualisierte vsphere-csi-secret verwenden.

audit-proxy Absturzschleife beim Aktivieren von Cloud-Audit-Logs mit gkectl update cluster

audit-proxy kann aufgrund einer leeren --cluster-name in einer Absturzschleife landen. Dieses Verhalten wird durch einen Fehler in der Aktualisierungslogik verursacht, bei dem der Clustername nicht an den Audit-Proxy-Pod / das Containermanifest weitergegeben wird.

Workaround:

Stellen Sie bei einem Nutzercluster der Steuerungsebene v2 mit enableControlplaneV2: true eine SSH-Verbindung zum Rechner der Nutzer-Steuerebene her und aktualisieren Sie /etc/kubernetes/manifests/audit-proxy.yaml mit --cluster_name=USER_CLUSTER_NAME.

Bearbeiten Sie bei einem v1-Nutzercluster der Steuerungsebene den Container audit-proxy in dem Statefulset kube-apiserver, um --cluster_name=USER_CLUSTER_NAME hinzuzufügen:

kubectl edit statefulset kube-apiserver -n USER_CLUSTER_NAME --kubeconfig=ADMIN_CLUSTER_KUBECONFIG

Eine zusätzliche erneute Bereitstellung der Steuerungsebene unmittelbar nach gkectl upgrade cluster

Unmittelbar nach gkectl upgrade cluster werden die Steuerungsebenen-Pods möglicherweise noch einmal neu bereitgestellt. Der Clusterstatus von gkectl list clusters ändert sich von RUNNING in RECONCILING. Anfragen an den Nutzercluster können Zeitüberschreitungen verursachen.

Das liegt daran, dass die Zertifikatsrotation der Steuerungsebene automatisch nach gkectl upgrade cluster passiert.

Dieses Problem tritt nur bei Nutzerclustern auf, die NICHT Controlplane V2 verwenden.

Workaround:

Warten Sie, bis sich der Clusterstatus in gkectl list clusters wieder in RUNNING ändert, oder führen Sie ein Upgrade auf Versionen mit der Fehlerbehebung durch: 1.13.6+, 1.14.2+ oder 1.15+.

Die fehlerhafte Version 1.12.7-gke.19 wurde entfernt.

Google Distributed Cloud 1.12.7-gke.19 ist eine fehlerhafte Version und sollte nicht verwendet werden. Die Artefakte wurden aus dem Cloud Storage-Bucket entfernt.

Workaround:

Verwenden Sie stattdessen die Version 1.12.7-gke.20.

gke-connect-agent verwendet nach dem Aktualisieren der Registry-Anmeldedaten weiterhin das ältere Image

Wenn Sie die Registrierungsanmeldedaten mit einer der folgenden Methoden aktualisieren:

• gkectl update credentials componentaccess, wenn keine private Registry verwendet wird
• gkectl update credentials privateregistry, wenn eine private Registry verwendet wird

verwendet gke-connect-agent möglicherweise weiterhin das ältere Image oder die gke-connect-agent-Pods können aufgrund von ImagePullBackOff nicht abgerufen werden.

Dieses Problem wird in Google Distributed Cloud-Releases 1.13.8, 1.14.4 und nachfolgenden Releases behoben.

Workaround:

Option 1: gke-connect-agent manuell neu bereitstellen:

1. Löschen Sie den Namespace gke-connect:

   kubectl --kubeconfig=KUBECONFIG delete namespace gke-connect

2. Stellen Sie gke-connect-agent mit dem ursprünglichen Schlüssel für die Registrierung von Dienstkonten wieder bereit (Sie müssen den Schlüssel nicht aktualisieren):
   Für den Administratorcluster:

   gkectl update credentials register --kubeconfig=ADMIN_CLUSTER_KUBECONFIG --config ADMIN_CLUSTER_CONFIG_FILE --admin-cluster

   Für den Nutzercluster:

   gkectl update credentials register --kubeconfig=ADMIN_CLUSTER_KUBECONFIG --config USER_CLUSTER_CONFIG_FILE

Option 2: Sie können die Daten des Image-Pull-Secrets regcred, das von der gke-connect-agent-Bereitstellung verwendet wird, manuell ändern:

kubectl --kubeconfig=KUBECONFIG -n=gke-connect patch secrets regcred -p "{\"data\":{\".dockerconfigjson\":\"$(kubectl --kubeconfig=KUBECONFIG -n=kube-system get secrets private-registry-creds -ojsonpath='{.data.\.dockerconfigjson}')\"}}"

Option 3: Sie können das Standard-Image-Pull-Secret für Ihren Cluster in der Bereitstellung gke-connect-agent hinzufügen:

1. Kopieren Sie das Standard-Secret in den Namespace gke-connect:

   kubectl --kubeconfig=KUBECONFIG -n=kube-system get secret private-registry-creds -oyaml | sed 's/ namespace: .*/ namespace: gke-connect/' | kubectl --kubeconfig=KUBECONFIG -n=gke-connect apply -f -

2. Rufen Sie den Namen der Bereitstellung gke-connect-agent ab:

   kubectl --kubeconfig=KUBECONFIG -n=gke-connect get deployment | grep gke-connect-agent

3. Fügen Sie der Bereitstellung gke-connect-agent das Standard-Secret hinzu:

   kubectl --kubeconfig=KUBECONFIG -n=gke-connect patch deployment DEPLOYMENT_NAME -p '{"spec":{"template":{"spec":{"imagePullSecrets": [{"name": "private-registry-creds"}, {"name": "regcred"}]}}}}'

Fehler bei der Prüfung der manuellen Konfiguration des Load-Balancers

Wenn Sie die Konfiguration vor dem Erstellen eines Clusters mit einem manuellen Load-Balancer mit dem Befehl gkectl check-config validieren, schlägt der Befehl mit den folgenden Fehlermeldungen fehl.

 - Validation Category: Manual LB    Running validation check for "Network
configuration"...panic: runtime error: invalid memory address or nil pointer
dereference

Workaround:

Option 1: Sie können die Patchversionen 1.13.7 und 1.14.4 verwenden, die die Fehlerbehebung enthalten.

Option 2: Sie können denselben Befehl auch ausführen, um die Konfiguration zu validieren, aber die Load-Balancer-Validierung überspringen.

gkectl check-config --skip-validation-load-balancer

etcd-Monitoringmangel

Bei Clustern, auf denen etcd Version 3.4.13 oder früher ausgeführt wird, kann es zu einem Monitoringmangel und nicht operativer Ressourcenüberwachung kommen, was zu den folgenden Problemen führen kann:

• Pod-Planung wird unterbrochen
• Knoten können sich nicht registrieren
• kubelet beobachtet keine Pod-Änderungen

Diese Probleme können dazu führen, dass der Cluster nicht mehr funktioniert.

Dieses Problem wurde in den Google Distributed Cloud-Versionen 1.12.7, 1.13.6, 1.14.3 und nachfolgenden Releases behoben. In diesen neueren Releases wird die etcd-Version 3.4.21 verwendet. Alle früheren Versionen von Google Distributed Cloud sind von diesem Problem betroffen.

Problemumgehung

Wenn Sie kein sofortiges Upgrade durchführen können, verringern Sie einen Clusterfehler durch Reduzieren der Knotenanzahl im Cluster. Entfernen Sie Knoten bis der etcd_network_client_grpc_sent_bytes_total-Messwert unter 300 Mbit/s liegt.

So rufen Sie diesen Messwert im Metrics Explorer auf:

1. Rufen Sie in der Google Cloud Console den Metrics Explorer auf:

   Zum Metrics Explorer

2. Wählen Sie den Tab Konfiguration aus.
3. Maximieren Sie Messwert auswählen und geben Sie Kubernetes Container in der Filterleiste ein und wählen Sie dann in den Untermenüs den Messwert aus:
   1. Wählen Sie im Menü Aktive Ressourcen die Option Kubernetes-Container aus.
   2. Wählen Sie im Menü Aktive Messwertkategorien die Option Anthos aus.
   3. Wählen Sie im Menü Aktive Messwerte die Option etcd_network_client_grpc_sent_bytes_total aus.
   4. Klicken Sie auf Anwenden.

GKE Identity Service kann zu Latenzen der Steuerungsebene führen

Bei Neustarts oder Upgrades von Clustern kann der GKE Identity Service mit Traffic überlastet werden, der aus abgelaufenen JWT-Tokens besteht, die von kube-apiserver an den GKE Identity Service über den Authentifizierungs-Webhook weitergeleitet werden. Obwohl der GKE Identity Service nicht in einer Absturzschleife endet, reagiert der Dienst nicht mehr und stellt die Bearbeitung weiterer Anfragen ein. Dieses Problem führt letztendlich zu höheren Latenzen der Steuerungsebene.

Dieses Problem wurde in den folgenden Google Distributed Cloud-Releases behoben:

• 1.12.6+
• 1.13.6+
• 1.14.2+

So stellen Sie fest, ob Sie von diesem Problem betroffen sind:

1. Prüfen Sie, ob der GKE Identity Service-Endpunkt extern erreichbar ist:

   curl -s -o /dev/null -w "%{http_code}" \
       -X POST https://CLUSTER_ENDPOINT/api/v1/namespaces/anthos-identity-service/services/https:ais:https/proxy/authenticate -d '{}'

   Ersetzen Sie CLUSTER_ENDPOINT mit der virtuellen IP-Adresse der Steuerungsebene und dem Load-Balancer-Port der Steuerungsebene für Ihren Cluster (z. B. 172.16.20.50:443).

   Wenn Sie von diesem Problem betroffen sind, gibt der Befehl einen 400-Statuscode zurück. Wenn das Zeitlimit für die Anfrage überschritten wird, starten Sie den Pod ais neu und führen Sie den Befehl curl noch einmal aus, um zu sehen, ob das Problem dadurch behoben wurde. Wenn Sie den Statuscode 000 erhalten, wurde das Problem behoben. Wird weiterhin der Statuscode 400 angezeigt, wird der HTTP-Server des GKE Identity Service nicht gestartet. Fahre in diesem Fall fort.

2. Prüfen Sie die Logs von GKE Identity Service und kube-apiserver:
   1. Prüfen Sie das GKE Identity Service-Log:

      kubectl logs -f -l k8s-app=ais -n anthos-identity-service \
          --kubeconfig KUBECONFIG

      Wenn das Log einen Eintrag wie den folgenden enthält, sind Sie von diesem Problem betroffen:

      I0811 22:32:03.583448      32 authentication_plugin.cc:295] Stopping OIDC authentication for ???. Unable to verify the OIDC ID token: JWT verification failed: The JWT does not appear to be from this identity provider. To match this provider, the 'aud' claim must contain one of the following audiences:

   2. Prüfen Sie die kube-apiserver-Logs für Ihre Cluster:

      In den folgenden Befehlen ist KUBE_APISERVER_POD der Name des kube-apiserver-Pods im angegebenen Cluster.

      Administratorcluster:

      kubectl --kubeconfig ADMIN_KUBECONFIG logs \
          -n kube-system KUBE_APISERVER_POD kube-apiserver

      Nutzercluster:

      kubectl --kubeconfig ADMIN_KUBECONFIG logs \
          -n USER_CLUSTER_NAME KUBE_APISERVER_POD kube-apiserver

      Wenn die kube-apiserver-Logs Einträge wie die folgenden enthalten, sind Sie von diesem Problem betroffen:

      E0811 22:30:22.656085       1 webhook.go:127] Failed to make webhook authenticator request: error trying to reach service: net/http: TLS handshake timeout
      E0811 22:30:22.656266       1 authentication.go:63] "Unable to authenticate the request" err="[invalid bearer token, error trying to reach service: net/http: TLS handshake timeout]"

Problemumgehung

Wenn Sie Ihre Cluster nicht sofort aktualisieren können, um das Problem zu beheben, können Sie die betroffenen Pods ermitteln und neu starten, um es zu umgehen:

1. Erhöhen Sie den Ausführlichkeitsgrad des GKE Identity Service auf 9:

   kubectl patch deployment ais -n anthos-identity-service --type=json \
       -p='[{"op": "add", "path": "/spec/template/spec/containers/0/args/-", \
       "value":"--vmodule=cloud/identity/hybrid/charon/*=9"}]' \
       --kubeconfig KUBECONFIG

2. Prüfen Sie das GKE Identity Service-Log auf den ungültigen Tokenkontext:

   kubectl logs -f -l k8s-app=ais -n anthos-identity-service \
       --kubeconfig KUBECONFIG

3. Um die mit jedem ungültigen Token-Kontext verknüpfte Token-Nutzlast abzurufen, parsen Sie jedes zugehörige Dienstkonto-Secret mit dem folgenden Befehl:

   kubectl -n kube-system get secret SA_SECRET \
       --kubeconfig KUBECONFIG \
       -o jsonpath='{.data.token}' | base64 --decode

4. Um das Token zu decodieren und den Namen und den Namespace des Quell-Pods aufzurufen, kopieren Sie das Token an den Debugger unter jwt.io.
5. Starten Sie die anhand der Tokens ermittelten Pods neu.

Die Speichernutzung erhöht das Problem von etcd-maintenance-Pods

Die etcd-Wartungs-Pods, die das etcddefrag:gke_master_etcddefrag_20210211.00_p0-Image verwenden, sind betroffen. Der Container „etcddefrag“ öffnet bei jedem Defragmentierungszyklus eine neue Verbindung zum etcd-Server und die alten Verbindungen werden nicht bereinigt.

Workaround:

Option 1: Führen Sie ein Upgrade auf die neuesten Patchversionen von 1.8 bis 1.11 durch, die die Fehlerbehebung enthalten.

Option 2: Wenn Sie eine Patchversion vor 1.9.6 und 1.10.3 verwenden, müssen Sie den etcd-maintenance-Pod für den Administrator- und den Nutzercluster herunterskalieren:

kubectl scale --replicas 0 deployment/gke-master-etcd-maintenance -n USER_CLUSTER_NAME --kubeconfig ADMIN_CLUSTER_KUBECONFIG
kubectl scale --replicas 0 deployment/gke-master-etcd-maintenance -n kube-system --kubeconfig ADMIN_CLUSTER_KUBECONFIG

Systemdiagnosen von Pods der Nutzercluster-Steuerungsebene werden übersprungen

Sowohl der Cluster-Health-Controller als auch der Befehl gkectl diagnose cluster führen eine Reihe von Systemdiagnosen durch, einschließlich der Systemdiagnosen für Pods in allen Namespaces. Sie beginnen jedoch, die Pods der Steuerungsebene des Nutzers versehentlich zu überspringen. Wenn Sie den Modus „Steuerungsebene V2“ verwenden, hat dies keine Auswirkungen auf Ihren Cluster.

Workaround:

Dies hat keine Auswirkungen auf die Verwaltung von Arbeitslasten oder Clustern. Wenn Sie den Status der Steuerungsebenen-Pods prüfen möchten, können Sie die folgenden Befehle ausführen:

kubectl get pods -owide -n USER_CLUSTER_NAME --kubeconfig ADMIN_CLUSTER_KUBECONFIG

1.6- und 1.7-Administratorclusterupgrades können von der k8s.gcr.io -> registry.k8s.io-Weiterleitung betroffen sein

Kubernetes hat den Traffic von k8s.gcr.io am 20.03.2023 umgeleitet.registry.k8s.io In Google Distributed Cloud 1.6.x und 1.7.x wird für Administratorcluster-Upgrades das Container-Image k8s.gcr.io/pause:3.2 verwendet. Wenn Sie einen Proxy für Ihre Administrator-Workstation verwenden und der Proxy registry.k8s.io nicht zulässt und das Container-Image k8s.gcr.io/pause:3.2 nicht lokal im Cache gespeichert ist, schlagen die Upgrades des Administratorclusters beim Abrufen des Container-Images fehl.

Workaround:

Fügen Sie registry.k8s.io zur Zulassungsliste des Proxys für Ihre Administratorworkstation hinzu.

Seesaw-Validierungsfehler beim Erstellen des Load-Balancers

gkectl create loadbalancer schlägt mit der folgenden Fehlermeldung fehl:

- Validation Category: Seesaw LB - [FAILURE] Seesaw validation: xxx cluster lb health check failed: LB"xxx.xxx.xxx.xxx" is not healthy: Get "http://xxx.xxx.xxx.xxx:xxx/healthz": dial tcpxxx.xxx.xxx.xxx:xxx: connect: no route to host

Dies liegt daran, dass die seesaw-gruppendatei bereits vorhanden ist. Bei der Preflight-Prüfung wird versucht, einen nicht vorhandenen Seesaw-Load-Balancer zu validieren.

Workaround:

Entfernen Sie die vorhandene seesaw-gruppendatei für diesen Cluster. Der Dateiname ist seesaw-for-gke-admin.yaml für den Administratorcluster und seesaw-for-{CLUSTER_NAME}.yaml für einen Nutzercluster.

Zeitüberschreitungen für Anwendungen aufgrund von Einfügungsfehlern in der Conntrack-Tabelle

Google Distributed Cloud Version 1.14 ist anfällig für Fehler beim Einfügen der Tabelle für das Verbindungs-Tracking (conntrack) von Netfilter, wenn Sie Images der Betriebssysteme Ubuntu oder COS verwenden. Einfügungsfehler führen zu Zeitüberschreitungen für Anwendungen und können auch dann auftreten, wenn in der Conntrack-Tabelle Platz für neue Einträge ist. Die Fehler werden durch Änderungen am Kernel 5.15 und höher verursacht, die das Einfügen von Tabellen basierend auf der Kettelänge einschränken.

Ob Sie von diesem Problem betroffen sind, können Sie mit folgendem Befehl in den Systemstatistiken des Kernel-Verbindungstrackings auf jedem Knoten überprüfen:

sudo conntrack -S

Die Antwort sieht so aus:

cpu=0       found=0 invalid=4 insert=0 insert_failed=0 drop=0 early_drop=0 error=0 search_restart=0 clash_resolve=0 chaintoolong=0
cpu=1       found=0 invalid=0 insert=0 insert_failed=0 drop=0 early_drop=0 error=0 search_restart=0 clash_resolve=0 chaintoolong=0
cpu=2       found=0 invalid=16 insert=0 insert_failed=0 drop=0 early_drop=0 error=0 search_restart=0 clash_resolve=0 chaintoolong=0
cpu=3       found=0 invalid=13 insert=0 insert_failed=0 drop=0 early_drop=0 error=0 search_restart=0 clash_resolve=0 chaintoolong=0
cpu=4       found=0 invalid=9 insert=0 insert_failed=0 drop=0 early_drop=0 error=0 search_restart=0 clash_resolve=0 chaintoolong=0
cpu=5       found=0 invalid=1 insert=0 insert_failed=0 drop=0 early_drop=0 error=519 search_restart=0 clash_resolve=126 chaintoolong=0
...

Wenn ein chaintoolong-Wert in der Antwort eine Zahl ungleich null ist, sind Sie von diesem Problem betroffen.

Problemumgehung

Die kurzfristige Lösung besteht darin, die Größe der Netfilter-Hashtabelle (nf_conntrack_buckets) und der Netfilter-Verbindungs-Tracking-Tabelle (nf_conntrack_max) zu erhöhen. Verwenden Sie die folgenden Befehle auf jedem Clusterknoten, um die Größe der Tabellen zu erhöhen:

sysctl -w net.netfilter.nf_conntrack_buckets=TABLE_SIZE
sysctl -w net.netfilter.nf_conntrack_max=TABLE_SIZE

Ersetzen Sie TABLE_SIZE durch die neue Größe in Byte. Der Standardwert für die Tabellengröße ist 262144. Wir empfehlen einen Wert, der dem 65.536-fachen der Anzahl der Kerne auf dem Knoten entspricht. Wenn Ihr Knoten beispielsweise acht Kerne hat, legen Sie die Tabellengröße auf 524288 fest.

Absturzschleife von calico-typha oder anetd-operator auf Windows-Knoten mit Steuerungsebene V2

Wenn Controlplane V2 aktiviert ist, werden calico-typha oder anetd-operator möglicherweise für Windows-Knoten geplant und sie geraten in eine Absturzschleife.

Der Grund dafür ist, dass die beiden Deployments alle Taints tolerieren, einschließlich des Windows-Knoten-Taints.

Workaround:

Führen Sie entweder ein Upgrade auf Version 1.13.3 oder höher durch oder führen Sie die folgenden Befehle aus, um das Deployment `calico-typha` oder `anetd-operator` zu bearbeiten:

    # If dataplane v2 is not used.
    kubectl edit deployment -n kube-system calico-typha --kubeconfig USER_CLUSTER_KUBECONFIG
    # If dataplane v2 is used.
    kubectl edit deployment -n kube-system anetd-operator --kubeconfig USER_CLUSTER_KUBECONFIG
    

Entfernen Sie folgende spec.template.spec.tolerations:

    - effect: NoSchedule
      operator: Exists
    - effect: NoExecute
      operator: Exists
    

Fügen Sie die folgende Toleranz hinzu:

    - key: node-role.kubernetes.io/master
      operator: Exists
    

Die Datei mit den Anmeldedaten für die private Registry des Nutzerclusters kann nicht geladen werden

Sie können möglicherweise keinen Nutzercluster erstellen, wenn Sie den Abschnitt privateRegistry mit dem Anmeldedatenfeld fileRef angeben. Die Preflight-Prüfung kann mit der folgenden Meldung fehlschlagen:

[FAILURE] Docker registry access: Failed to login.

Workaround:

• Wenn Sie das Feld nicht angeben wollten oder dieselben Anmeldedaten für die private Registry wie der Administratorcluster verwenden möchten, können Sie den Abschnitt privateRegistry in der Konfigurationsdatei des Nutzerclusters einfach entfernen oder kommentieren.
• Wenn Sie für Ihren Nutzercluster bestimmte Anmeldedaten für die private Registry verwenden möchten, können Sie den Abschnitt privateRegistry vorübergehend so angeben:

  privateRegistry:
    address: PRIVATE_REGISTRY_ADDRESS
    credentials:
      username: PRIVATE_REGISTRY_USERNAME
      password: PRIVATE_REGISTRY_PASSWORD
    caCertPath: PRIVATE_REGISTRY_CACERT_PATH

  (NOTE Dies ist nur eine vorübergehende Lösung. Diese Felder sind bereits eingestellt. Verwenden Sie beim Upgrade auf 1.14.3 oder höher die Anmeldedatendatei.)

Cloud Service Mesh und andere Service Meshs, die nicht mit Dataplane v2 kompatibel sind

Dataplane V2 übernimmt das Load-Balancing und erstellt einen Kernel-Socket anstelle eines paketbasierten DNAT. Das bedeutet, dass Cloud Service Mesh keine Paketprüfung ausführen kann, da der Pod umgangen wird und nie IPTables verwendet.

Im kube-proxy-freien Modus führt dies zu einem Verlust der Verbindung oder zu einem falschen Traffic-Routing für Dienste mit Cloud Service Mesh, da der Sidecar keine Paketprüfung durchführen kann.

Dieses Problem tritt in allen Versionen von Google Distributed Cloud 1.10 auf. In einigen neueren Versionen von 1.10 (1.10.2+) gibt es jedoch eine Problemumgehung.

Workaround:

Führen Sie entweder ein Upgrade auf Version 1.11 durch, um vollständige Kompatibilität zu erhalten, oder führen Sie bei Version 1.10.2 oder höher Folgendes aus:

    kubectl edit cm -n kube-system cilium-config --kubeconfig USER_CLUSTER_KUBECONFIG
    

Fügen Sie bpf-lb-sock-hostns-only: true der ConfigMap hinzu und starten Sie das anetd-DaemonSet neu:

      kubectl rollout restart ds anetd -n kube-system --kubeconfig USER_CLUSTER_KUBECONFIG
    

kube-controller-manager trennt möglicherweise nichtflüchtige Volumes nach 6 Minuten erzwungenermaßen

kube-controller-manager kann beim Trennen von PV/PVCs nach 6 Minuten eine Zeitüberschreitung verursachen und die PV/PVCs erzwungenermaßen trennen. Detaillierte Logs von kube-controller-manager zeigen ähnliche Ereignisse an wie die folgenden:

$ cat kubectl_logs_kube-controller-manager-xxxx | grep "DetachVolume started" | grep expired

kubectl_logs_kube-controller-manager-gke-admin-master-4mgvr_--container_kube-controller-manager_--kubeconfig_kubeconfig_--request-timeout_30s_--namespace_kube-system_--timestamps:2023-01-05T16:29:25.883577880Z W0105 16:29:25.883446       1 reconciler.go:224] attacherDetacher.DetachVolume started for volume "pvc-8bb4780b-ba8e-45f4-a95b-19397a66ce16" (UniqueName: "kubernetes.io/csi/csi.vsphere.vmware.com^126f913b-4029-4055-91f7-beee75d5d34a") on node "sandbox-corp-ant-antho-0223092-03-u-tm04-ml5m8-7d66645cf-t5q8f"
This volume is not safe to detach, but maxWaitForUnmountDuration 6m0s expired, force detaching

Melden Sie sich auf dem Knoten an und führen Sie die folgenden Befehle aus, um das Problem zu überprüfen:

# See all the mounting points with disks
lsblk -f

# See some ext4 errors
sudo dmesg -T

Im Kubelet-Log werden Fehler wie die folgenden angezeigt:

Error: GetDeviceMountRefs check failed for volume "pvc-8bb4780b-ba8e-45f4-a95b-19397a66ce16" (UniqueName: "kubernetes.io/csi/csi.vsphere.vmware.com^126f913b-4029-4055-91f7-beee75d5d34a") on node "sandbox-corp-ant-antho-0223092-03-u-tm04-ml5m8-7d66645cf-t5q8f" :
the device mount path "/var/lib/kubelet/plugins/kubernetes.io/csi/pv/pvc-8bb4780b-ba8e-45f4-a95b-19397a66ce16/globalmount" is still mounted by other references [/var/lib/kubelet/plugins/kubernetes.io/csi/pv/pvc-8bb4780b-ba8e-45f4-a95b-19397a66ce16/globalmount

Workaround:

Stellen Sie über SSH eine Verbindung zum betroffenen Knoten her und starten Sie ihn neu.

Cluster-Upgrade bleibt hängen, wenn ein CSI-Treiber eines Drittanbieters verwendet wird

Wenn Sie den CSI-Treiber eines Drittanbieters verwenden, können Sie einen Cluster möglicherweise nicht aktualisieren. Der Befehl gkectl cluster diagnose gibt möglicherweise den folgenden Fehler zurück:

"virtual disk "kubernetes.io/csi/csi.netapp.io^pvc-27a1625f-29e3-4e4f-9cd1-a45237cc472c" IS NOT attached to machine "cluster-pool-855f694cc-cjk5c" but IS listed in the Node.Status"

Workaround:

Führen Sie das Upgrade mit dem --skip-validation-all aus.

gkectl repair admin-master erstellt die Administrator-Master-VM, ohne ein Upgrade der VM-Hardwareversion durchzuführen

Für den über gkectl repair admin-master erstellten Admin-Masterknoten wird möglicherweise eine niedrigere VM-Hardwareversion als erwartet verwendet. Wenn das Problem auftritt, sehen Sie den Fehler vom gkectl diagnose cluster-Bericht.

CSIPrerequisites [VM Hardware]: The current VM hardware versions are lower than vmx-15 which is unexpected. Please contact Anthos support to resolve this issue.

Workaround:

Fahren Sie den Administrator-Masterknoten herunter, folgen Sie https://kb.vmware.com/s/article/1003746, um den Knoten auf die in der Fehlermeldung beschriebene erwartete Version zu aktualisieren, und starten Sie dann den Knoten.

Die VM gibt den DHCP-Lease beim Herunterfahren/Neustart unerwartet frei, was zu IP-Änderungen führen kann.

In systemd v244 wurde das Standardverhalten von systemd-networkd in der KeepConfiguration-Konfiguration geändert. Vor dieser Änderung haben VMs beim Herunterfahren oder Neustart keine DHCP-Lease-Release-Nachricht an den DHCP-Server gesendet. Nach dieser Änderung senden VMs eine solche Nachricht und geben die IP-Adressen an den DHCP-Server zurück. Daher kann die freigegebene IP-Adresse einer anderen VM zugewiesen werden und/oder der VM eine andere IP-Adresse zugewiesen werden, was zu einem IP-Konflikt (auf Kubernetes-Ebene, nicht auf vSphere-Ebene) und/oder einer IP-Änderung auf den VMs führt, wodurch die Cluster auf verschiedene Weise beeinträchtigt werden können.

Beispiele:

• Die vCenter-UI zeigt an, dass keine VMs dieselbe IP verwenden, aber kubectl get nodes -o wide gibt Knoten mit doppelten IP-Adressen zurück.

  NAME   STATUS    AGE  VERSION          INTERNAL-IP    EXTERNAL-IP    OS-IMAGE            KERNEL-VERSION    CONTAINER-RUNTIME
  node1  Ready     28h  v1.22.8-gke.204  10.180.85.130  10.180.85.130  Ubuntu 20.04.4 LTS  5.4.0-1049-gkeop  containerd://1.5.13
  node2  NotReady  71d  v1.22.8-gke.204  10.180.85.130  10.180.85.130  Ubuntu 20.04.4 LTS  5.4.0-1049-gkeop  containerd://1.5.13

• Neue Knoten können aufgrund von calico-node-Fehler nicht gestartet werden

  2023-01-19T22:07:08.817410035Z 2023-01-19 22:07:08.817 [WARNING][9] startup/startup.go 1135: Calico node 'node1' is already using the IPv4 address 10.180.85.130.
  2023-01-19T22:07:08.817514332Z 2023-01-19 22:07:08.817 [INFO][9] startup/startup.go 354: Clearing out-of-date IPv4 address from this node IP="10.180.85.130/24"
  2023-01-19T22:07:08.825614667Z 2023-01-19 22:07:08.825 [WARNING][9] startup/startup.go 1347: Terminating
  2023-01-19T22:07:08.828218856Z Calico node failed to start

Workaround:

Stellen Sie das folgende DaemonSet auf dem Cluster bereit, um die Änderung des systemd-networkd-Standardverhaltens rückgängig zu machen. Die VMs, auf denen dieses DaemonSet ausgeführt wird, geben die IP-Adressen beim Herunterfahren oder Neustart nicht an den DHCP-Server zurück. Die IPs werden automatisch vom DHCP-Server freigegeben, wenn die Leases ablaufen.

      apiVersion: apps/v1
      kind: DaemonSet
      metadata:
        name: set-dhcp-on-stop
      spec:
        selector:
          matchLabels:
            name: set-dhcp-on-stop
        template:
          metadata:
            labels:
              name: set-dhcp-on-stop
          spec:
            hostIPC: true
            hostPID: true
            hostNetwork: true
            containers:
            - name: set-dhcp-on-stop
              image: ubuntu
              tty: true
              command:
              - /bin/bash
              - -c
              - |
                set -x
                date
                while true; do
                  export CONFIG=/host/run/systemd/network/10-netplan-ens192.network;
                  grep KeepConfiguration=dhcp-on-stop "${CONFIG}" > /dev/null
                  if (( $? != 0 )) ; then
                    echo "Setting KeepConfiguration=dhcp-on-stop"
                    sed -i '/\[Network\]/a KeepConfiguration=dhcp-on-stop' "${CONFIG}"
                    cat "${CONFIG}"
                    chroot /host systemctl restart systemd-networkd
                  else
                    echo "KeepConfiguration=dhcp-on-stop has already been set"
                  fi;
                  sleep 3600
                done
              volumeMounts:
              - name: host
                mountPath: /host
              resources:
                requests:
                  memory: "10Mi"
                  cpu: "5m"
              securityContext:
                privileged: true
            volumes:
            - name: host
              hostPath:
                path: /
            tolerations:
            - operator: Exists
              effect: NoExecute
            - operator: Exists
              effect: NoSchedule