云服务器K8S集群部署常见问题FAQ合集

使用云服务器搭建K8S集群时，网络连接不稳定、存储挂载失败、节点资源不足、镜像拉取受阻等问题常让运维人员头疼。这些问题看似复杂，实则有规律可循。结合多个企业级云服务器K8S部署项目经验，我们整理了四大高频问题的诊断与解决方法。

网络连接问题：Pod跨节点通信失败

某制造企业在云服务器上部署K8S集群时，发现生产环境的两个业务Pod（分别部署在不同节点）无法互相调用接口。这是云服务器K8S部署中最典型的网络问题之一。

常见表现：Pod无法ping通外网IP，或跨节点Pod间无法通过ClusterIP通信，日志提示"Connection refused"。
排查步骤：首先检查云服务器控制台的安全组配置——曾有项目因未开放Calico网络插件所需的5473/UDP端口（用于BGP peering）导致跨节点通信中断；其次通过`kubectl get pods -n kube-system`查看网络插件（如Calico、Flannel）的Pod状态，若出现CrashLoopBackOff，需用`kubectl logs`查看具体报错；最后通过`ip a`命令检查节点的虚拟网卡（如Calico的cali前缀接口）是否正常生成。
处理方法：确认安全组开放K8S核心端口（6443/API Server、2379-2380/etcd、5473/Calico等）；若网络插件配置错误，可通过`kubectl apply -f`重新应用正确的YAML文件，必要时删除异常Pod触发自动重建。

存储挂载问题：PV与Pod绑定失败

某电商平台测试环境曾出现订单服务Pod启动失败，日志显示"MountVolume.SetUp failed for volume"。这类存储问题多与云服务器存储后端配置或PV/PVC匹配度相关。

常见表现：Pod状态为ContainerCreating，`kubectl describe pod`提示"PersistentVolumeClaim is not bound"或"AccessDenied"。
排查步骤：先用`kubectl get pvc`查看PVC状态（Pending表示未绑定），再通过`kubectl get pv`检查PV的Capacity、AccessModes是否与PVC请求一致（如PVC要求ReadWriteOnce，PV却仅支持ReadOnlyMany）；若绑定正常但挂载失败，需登录云服务器查看存储后端（如NFS）的防火墙规则，确认K8S节点IP在允许列表内，同时检查NFS共享目录的权限是否为755（避免权限不足）。
处理方法：调整PVC的requests.storage参数使其不超过PV容量；若存储后端为云服务器提供的块存储（如EBS），需确保卷已正确附加到节点；对于NFS存储，可在云服务器控制台重启NFS服务并刷新挂载点。

节点资源不足：Pod持续Pending

某金融科技公司上线新业务模块时，发现部分Pod长时间处于Pending状态，调度器日志显示"0/3 nodes are available: 3 Insufficient memory"。这是资源调度环节的典型问题。

常见表现：`kubectl get pods`显示Pod状态为Pending，`kubectl describe pod`的Events字段包含"Insufficient cpu/memory"。
排查步骤：通过`kubectl top nodes`查看各节点CPU、内存使用率（如某节点内存使用率超85%）；检查Pod的resource.requests配置（如某Java应用请求4Gi内存，但节点仅剩余3Gi）；确认是否有节点因磁盘压力（`kubectl describe node`的Conditions字段显示DiskPressure）被标记为不可调度。
处理方法：短期可调整Pod的requests值（如将内存请求从4Gi降至3Gi），但需注意不低于应用实际需求；长期建议在云服务器控制台弹性扩容节点（通过K8S的Cluster Autoscaler自动添加节点更高效）；若因磁盘问题，可清理节点上无用的镜像（`docker image prune -a`）或日志文件释放空间。

镜像拉取问题：私有仓库认证失败

某游戏公司使用云服务器搭建内部K8S集群时，部署自研游戏服务时频繁出现"Failed to pull image"错误，问题根源多与镜像仓库认证相关。

常见表现：Pod日志显示"Error response from daemon: pull access denied"或"unauthorized: authentication required"。
排查步骤：确认镜像地址是否正确（如将`my-registry:5000/game-service`误写为`my-registry:5000/game-svc`）；检查云服务器能否访问镜像仓库（`telnet my-registry 5000`测试端口连通性）；通过`kubectl get secret`查看是否存在用于镜像拉取的ImagePullSecret。
处理方法：若使用私有仓库，需创建Secret存储账号密码（`kubectl create secret docker-registry regcred --docker-server=my-registry --docker-username=user --docker-password=pass`），并在Pod的spec中添加`imagePullSecrets: - name: regcred`；若因网络问题，可在云服务器上配置镜像加速（如使用公共镜像缓存服务），或在集群内搭建本地镜像仓库。

云服务器与K8S的结合让容器化部署更灵活，但部署过程中的问题需要针对性排查。掌握"现象观察-工具诊断-针对性解决"的流程，配合云服务器提供的监控（如节点资源监控）、安全（如安全组）、存储（如弹性块存储）等管理功能，能显著提升K8S集群的部署效率与稳定性。