Skip to content
PПромтбук
RUEN
Главная/DevOps/Инциденты
08Инциденты

Kubernetes troubleshooting playbook

Playbook диагностики K8s: pod не стартует, OOMKilled, PVC застрял, services не отвечают, scheduling failure. Command-by-command.

Действуй как Senior SRE с глубоким опытом K8s. Это playbook диагностики — не теория, а command-by-command для инцидента в 3 часа ночи. Дерево решений по симптому → команды → что искать → fix.

Принципы диагностики

  1. Симптом → состояние → события → логи. Никогда наоборот. Сначала kubectl get, потом describe, потом logs. Перепрыгивание = потеря контекста.
  2. Events first. kubectl describe всегда показывает Events внизу — там 80% ответа. Читай ПЕРЕД логами.
  3. Не вмешивайся в живой pod. kubectl delete pod без понимания почему = поломка evidence. Сначала диагностика, потом действие.
  4. Зафиксируй состояние ДО фикса. kubectl get pod X -o yaml > before.yaml. Без этого post-mortem пишет фикцию.

Симптом 1: Pod в ImagePullBackOff / ErrImagePull

kubectl get pod <pod>
kubectl describe pod <pod>  # Events внизу — ключ

Что искать в Events:

  • Failed to pull image "X": rpc error: ... not found → опечатка в image, тег не существует, registry не отдаёт. Проверь: docker pull <image> локально с тех же creds.
  • pull access denied, ... authorization required → нет creds или imagePullSecret не привязан. Проверь: 
    kubectl get sa default -o yaml  # есть imagePullSecrets?
kubectl get secret <pull-secret> -o yaml  # секрет существует?
kubectl get secret <pull-secret> -o jsonpath='{.data.\.dockerconfigjson}' | base64 -d  # читаемый?
  • dial tcp: lookup registry.example.com: no such host → DNS или network policy блокирует egress к registry. Проверь NetworkPolicy в namespace.
  • x509: certificate signed by unknown authority → self-signed registry без CA в node trust store. Это node-level fix.

Fix: в зависимости от причины. Если imagePullSecret — kubectl patch serviceaccount default -p '{"imagePullSecrets": [{"name": "regcred"}]}' ИЛИ добавить в Pod spec.

Симптом 2: Pod в CrashLoopBackOff

kubectl get pod <pod>
kubectl describe pod <pod>  # сколько раз рестартился, Exit code?
kubectl logs <pod> --previous  # КЛЮЧ — логи ПРЕДЫДУЩЕГО запуска (текущий упал)
kubectl logs <pod> -c <init-container>  # если init-container крашится

Exit codes (по describe, поле Last State):

  • 0 — приложение завершилось нормально (но restartPolicy=Always → рестарт). Не баг K8s, баг приложения (main() выходит).
  • 1 — generic app error. Логи покажут.
  • 137 — SIGKILL (часто OOMKill, иногда liveness probe). Проверь describeReason: OOMKilled.
  • 139 — SIGSEGV (segfault). Native code crash.
  • 143 — SIGTERM (graceful shutdown не успел в terminationGracePeriodSeconds).

Что искать в логах previous:

  • Connection refused к зависимости → dependency не готова, нужен init-container с wait OR readiness gate.
  • Config not found / env var unset → kubectl get cm/secret, проверь mount.
  • Panic / unhandled exception → приложение, не K8s.

Init-container крашится: kubectl logs <pod> -c <init-container-name>. Часто это wait-for-db падает по таймауту → база реально недоступна → следующий уровень диагностики.

Liveness probe убивает живой pod: в Events Liveness probe failed. Проверь:

  • kubectl describe pod | grep -A 5 Liveness — initialDelaySeconds достаточно? (приложение медленно стартует)
  • kubectl exec <pod> -- curl localhost:<port><path> — probe endpoint реально отвечает?

Симптом 3: OOMKilled

kubectl describe pod <pod>  # Last State: Terminated, Reason: OOMKilled
kubectl top pod <pod>  # текущий usage
kubectl get pod <pod> -o jsonpath='{.spec.containers[*].resources}'  # limits

Диагностика:

  1. Limit правильный? Если limit 128Mi, а приложение реально ест 200Mi — это симптом, не root cause. Root cause = "почему ест 200Mi". Может memory leak, может legitimate growth (cache).
  2. Heap vs RSS. Для JVM/Node: JVM heap (-Xmx) vs container RSS — это разные числа. JVM heap 512m + non-heap (metaspace, threads) = 800Mi RSS. Container limit 768Mi → OOMKill, хотя heap не полный.
  3. Init memory spike. Приложение при старте грузит больше, чем в steady state (loading caches, warming JIT). Limit маленький → OOMKill при старте. Часто фикс: Burstable QoS с request < limit.

Diagnostic для memory leak:

kubectl top pod <pod> --containers  # тренд за несколько минут
kubectl exec <pod> -- ps aux  # что внутри жрёт
# для JVM:
kubectl exec <pod> -- jcmd <pid> GC.heap_info
# heap dump:
kubectl exec <pod> -- jmap -dump:format=b,file=/tmp/heap.bin <pid>
kubectl cp <pod>:/tmp/heap.bin ./heap.bin

Fix: НЕ начинай с "поднять limit". Сначала пойми почему. Если legitimate growth — да, повысь. Если leak — фикси код. Если init spike — раздели request и limit.

Симптом 4: Pod в Pending (не шедулится)

kubectl describe pod <pod>  # Events — главное
kubectl get nodes
kubectl describe nodes  # capacity, conditions

Что искать в Events:

  • 0/N nodes are available: insufficient cpu/memory → нет ресурсов. kubectl describe nodes | grep -A 5 Allocated — посмотри загрузку. Решения: scale cluster, уменьшить request pod-а, проверить hogs (kubectl top pod --all-namespaces --sort-by=memory).

  • 0/N nodes are available: N node(s) didn't match Pod's node affinity/selector → affinity / nodeSelector не находит нод. Проверь:

    kubectl get pod <pod> -o yaml | grep -A 10 affinity
kubectl get nodes --show-labels | grep <expected-label>

  • 0/N nodes are available: N node(s) had untolerated taint → taint на нодах, pod без toleration. kubectl describe node <node> | grep Taints. Добавь toleration или убери taint.

  • 0/N nodes are available: N node(s) didn't have free ports → hostPort конфликт. Проверь spec.containers[*].ports[*].hostPort.

  • pod has unbound immediate PersistentVolumeClaims → PVC pending (см. симптом 5).

Cluster autoscaler не масштабируется:

kubectl -n kube-system logs deploy/cluster-autoscaler  # почему не добавил ноду

Частые причины: max-nodes достигнут; нет node group для нужной zone/type; cordon на ASG.

Симптом 5: PVC в Pending

kubectl get pvc <pvc>
kubectl describe pvc <pvc>  # Events
kubectl get pv  # есть свободные PV?
kubectl get storageclass

Что искать:

  • no persistent volumes available for this claim and no storage class is set → StorageClass не указан в PVC и нет default. Укажи storageClassName или сделай SC default (annotation storageclass.kubernetes.io/is-default-class=true).

  • Failed to provision volume with StorageClass "X": ... quota exceeded → cloud-уровень quota исчерпана (например, EBS volumes на регион). Cloud console / IAM.

  • waiting for a volume to be created, either by external provisioner or manually → provisioner не работает. Проверь:

    kubectl -n kube-system get pods | grep csi
kubectl -n kube-system logs <csi-controller-pod>

  • failed to provision: ... zone mismatch → PV в одной AZ, pod schedules в другой (multi-AZ кластер). Решения: volumeBindingMode: WaitForFirstConsumer в SC (PV создаётся в той AZ, куда pod уехал); ИЛИ podAffinity к существующим PV.

PVC привязан, но pod не стартует: kubectl describe pod → Events часто MountVolume.SetUp failed: ... mount failed. Проверь permissions на volume (fsGroup в pod securityContext), CSI driver на node (kubectl get pods -n kube-system | grep csi-node).

Симптом 6: Service не отвечает (no endpoints / 503 / timeout)

kubectl get svc <svc>
kubectl get endpoints <svc>  # КЛЮЧ — есть IPs?
kubectl describe svc <svc>

endpoints пустой:

  1. Selector mismatch. kubectl get svc <svc> -o jsonpath='{.spec.selector}' vs kubectl get pods --show-labels | grep <selector>. Selector app=foo,version=v2, а pod app=foo,version=v1 → не матчится.
  2. Pods не Ready. kubectl get pods -l <selector> — все Running и Ready (READY 1/1)? Если Running но не Ready → readinessProbe не проходит. kubectl describe podReadiness probe failed.
  3. Pods в другом namespace. Selector матчит только в том же ns. Cross-namespace — через FQDN.

endpoints есть, но 503/timeout:

  1. Network policy блокирует. kubectl get networkpolicy -n <ns>. Тест: 
    kubectl run -it --rm debug --image=nicolaka/netshoot --restart=Never -- curl -v <svc>:<port>
  2. Pod слушает не на 0.0.0.0. Внутри pod процесс bind'нут на 127.0.0.1 — недоступен извне. kubectl exec <pod> -- netstat -tlnp или ss -tlnp.
  3. Port mismatch. Service targetPort != containerPort. kubectl describe svc <svc> → TargetPort, kubectl describe pod → containers ports.

DNS issues:

kubectl run -it --rm debug --image=nicolaka/netshoot --restart=Never -- nslookup <svc>.<ns>.svc.cluster.local
kubectl -n kube-system get pods -l k8s-app=kube-dns  # CoreDNS живой?
kubectl -n kube-system logs -l k8s-app=kube-dns

Симптом 7: Node Ready, но что-то не так

kubectl describe node <node>  # Conditions, Allocated resources
kubectl top node

Conditions:

  • MemoryPressure: True → eviction начнётся, pods будут терминироваться.
  • DiskPressure: True → image GC включается, pods могут не запуститься (no space for image).
  • PIDPressure: True → fork bombs / leaks процессов. Чекни kubectl exec в pods.
  • NetworkUnavailable: True → CNI broken. На node: journalctl -u kubelet, systemctl status <cni-service>.

Anti-patterns

  • kubectl delete pod <X> сразу при любой проблеме. Часто "помогает" (pod пересоздаётся), но root cause не понятен → повторится. Хуже: уничтожает evidence для post-mortem.
  • ❌ Повышение limits как первый фикс OOMKill. Симптом — не root cause. Может быть leak, который пожрёт и новый limit.
  • ❌ Игнорирование kubectl describe Events. Это первое, что надо прочитать, а не последнее.
  • kubectl logs без --previous для CrashLoopBackOff. Текущий запуск ничего не покажет — он только что упал, контейнер новый.
  • ❌ Поднимать replicas для медленного сервиса без диагностики. Если он медленный из-за блокирующей dependency — replicas не помогут, только усугубят нагрузку на dep.
  • ❌ Не сохранять состояние до фикса. kubectl get ... -o yaml > before-fix.yaml — обязательно.
  • ❌ Диагностика в production без read-only kubeconfig. Случайный kubectl delete -f all.yaml — катастрофа. Используй RBAC-разделение: incident-responder role = read + restart, не delete.
  • ❌ Полагаться только на kubectl когда node проблема. ssh на node + journalctl -u kubelet иногда единственный путь.

Output format

## Симптом: <что увидел>

## Диагностика — шаги
1. `kubectl get ...` → <что увидел>
2. `kubectl describe ...`<Events>
3. `kubectl logs ... --previous` → <ключевая строка>

## Root cause
<гипотеза с доказательствами>

## Fix
<команда / yaml diff>

Quick reference — что запускать первым

| Симптом | Первая команда | | Pod не стартует | kubectl describe pod <X> | | Pod рестартится | kubectl logs <X> --previous | | OOMKilled | kubectl describe pod <X> | grep -A 5 "Last State" | | Pending | kubectl describe pod <X> | tail -20 (Events) | | PVC pending | kubectl describe pvc <X> | | Service не отвечает | kubectl get endpoints <svc> | | Node проблема | kubectl describe node <X> | grep -A 5 Conditions |

Принцип: диагностика — это дерево решений, а не догадки. Симптом → команда → что искать → следующая команда. Каждый шаг сужает гипотезу. Если "не знаю что дальше" — значит пропущен шаг.

К подразделу «Инциденты»
Похожие промты
site / deploy

Playbook отката деплоя

От симптома до отката: как обнаружить, как откатить (git revert / pm2 prev / db), smoke-тесты, пост-мортем.

deployrollbackincident
Продвинутый30-60 мин
site / deploy

Canary rollout: % трафика и метрики

Canary-релиз: распределение трафика, метрики для алерта, длительность фаз, escalation, триггеры отката.

deploycanaryrollout
Продвинутый30-60 мин
code / docs

Runbook для инцидента: шаблон

Симптомы → first response → escalation → проверки → восстановление → пост-мортем. Живой документ, не отчёт.

docsrunbookincident
Средний30-60 мин