云服务器K8s Pod无法拉取镜像：网络策略配置故障排查

在云服务器的K8s（Kubernetes，容器编排系统）环境中，Pod无法拉取镜像常与网络策略配置有关。本文带你从现象识别到精准排查，快速定位并解决此类问题。

现象：Pod卡在Pending，镜像拉取失败

当你在云服务器上部署K8s应用时，可能会遇到这样的场景：新创建的Pod长时间停留在Pending状态，通过kubectl describe pod命令查看事件，会看到醒目的“Failed to pull image”错误。这意味着Pod尝试从镜像仓库（如Docker Hub、私有仓库）获取镜像时受阻，而网络策略配置不当往往是隐藏的“罪魁祸首”。

诊断：三步定位网络策略问题

排查的关键是确认Pod与镜像仓库之间的网络通路是否畅通。具体分三步操作：

首先，测试节点与镜像仓库的连通性。登录Pod所在的云服务器节点，使用ping命令测试镜像仓库地址。以公共镜像仓库Docker Hub为例，尝试ping registry-1.docker.io。若无法收到响应，说明节点到仓库的基础网络连接被阻断，需进一步检查策略。

其次，检查K8s网络策略限制。K8s网络策略（NetworkPolicy）可精细控制Pod的入站/出站流量。执行kubectl get networkpolicies查看集群中的策略，重点关注egress（出站）规则。例如，若某条策略仅允许Pod访问192.168.1.0/24网段的流量，而镜像仓库IP不在此范围，Pod自然无法拉取镜像。

最后，排查节点防火墙规则。云服务器节点的系统防火墙（如Firewalld、iptables）可能意外拦截了镜像仓库的端口。通过systemctl status firewalld查看防火墙状态，用iptables -L -n -v检查当前规则，确认是否有针对镜像仓库端口（如HTTPS的443端口）的拒绝策略。

解决：针对性修复网络屏障

找到问题根源后，即可针对性调整：

若问题出在K8s网络策略，可通过编辑策略开放镜像仓库访问。例如，创建一条允许所有出站流量的策略（测试用，生产环境建议限制范围）：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-image-pull
spec:
  podSelector: {}  # 匹配所有Pod
  policyTypes:
  - Egress
  egress:
  - to:
    - ipBlock:
        cidr: 0.0.0.0/0  # 允许访问所有IP

应用该策略后，Pod的出站流量将不再受限（注意：生产环境需根据实际仓库IP调整cidr范围）。

若是节点防火墙拦截，可临时关闭防火墙验证：执行systemctl stop firewalld关闭Firewalld。若此时Pod成功拉取镜像，说明防火墙规则需要调整。可通过firewall-cmd --zone=public --add-port=443/tcp --permanent开放443端口（适用于HTTPS仓库），再执行firewall-cmd --reload生效。

在云服务器的K8s实践中，网络策略是保障集群安全的关键，但配置不当也可能成为应用部署的阻碍。通过上述排查流程，可快速定位镜像拉取失败的网络瓶颈，确保应用顺利上线运行。