Container Service for Kubernetes:Troubleshoot cluster access exceptions from the console

Gejala

Konsol ACK menampilkan kesalahan berikut saat Anda mengakses resource kluster:

Terjadi kesalahan saat memproses permintaan Anda ke API server kluster saat ini.

Kode kesalahan: ErrorQueryClusterNamespace atau APIServer.500

Penyebab

Konfigurasi load balancing API server tidak valid atau status API server tidak normal, sehingga layanan manajemen ACK gagal terhubung ke API server.

Solusi

Langkah 1: Verifikasi keberadaan instans SLB

1. Login ke ACK console. Di panel navigasi kiri, klik Clusters.

2. Klik nama kluster target. Di panel navigasi kiri, klik Cluster Information.

3. Di tab Basic Information, klik tautan di samping API server SLB untuk membuka Server Load Balancer (SLB) console.

Jika konsol menampilkan The specified SLB ID does not exist., artinya instans SLB untuk API server telah dihapus atau dilepas dan kluster tidak dapat dipulihkan. Buat ulang kluster tersebut. Untuk detailnya, lihat Create an ACK managed cluster.

Langkah 2: Periksa status instans SLB

Periksa apakah Status instans SLB adalah Running.

Jika statusnya bukan Running, periksa adanya pembayaran tertunda atau masa langganan yang telah habis. Lunasi pembayaran tertunda atau lakukan perpanjangan langganan, lalu restart instans SLB. Untuk detail penagihan, lihat CLB billing.

Langkah 3: Verifikasi konfigurasi listener

Klik tab Listener dan periksa apakah terdapat listener dengan Frontend Protocol/Port dan Backend Protocol/Port diatur sebagai TCP:6443 serta Status-nya Running.

Jika listener tersebut tidak ada atau tidak sedang berjalan:

• Jika listener ada tetapi Status-nya Stopped, pilih listener tersebut dan klik Enable.

• Jika listener tidak ada:

  • Untuk kluster ACK yang dikelola, atau submit a ticket. ACK mengelola node master untuk kluster yang dikelola, sehingga platform harus memulihkan konfigurasi listener.

  • Untuk kluster khusus ACK, tambahkan semua node master ke kelompok server default. Lalu buat listener dengan Frontend Protocol/Port dan Backend Protocol/Port diatur sebagai TCP:6443, kaitkan dengan default server group, dan mulai listener tersebut. Untuk detailnya, lihat Add a TCP listener.

Langkah 4: Periksa status pemeriksaan kesehatan

Periksa apakah kolom Health Check Status pada listener menunjukkan Normal.

Jika statusnya bukan Normal, artinya server backend instans SLB tidak normal:

• Untuk kluster ACK yang dikelola, atau submit a ticket. ACK mengelola node master untuk kluster yang dikelola dan Anda tidak dapat mengaksesnya secara langsung.

• Untuk kluster khusus ACK, lakukan troubleshooting sebagai berikut. Jika masalah tetap berlanjut setelah troubleshooting, atau submit a ticket.

  1. Di halaman Nodes > Nodes pada ACK console atau ACK console, klik ID instans ECS masing-masing node master dan verifikasi bahwa instans tersebut berada dalam status Running di ECS console.

  2. Login ke masing-masing node master melalui konsol ECS dan periksa status kontainer API server. Untuk cara login ke node master, lihat Connection method overview.

     • Docker runtime:

       docker ps | grep kube-apiserver

       Kemudian jalankan docker inspect <container-id> untuk memeriksa status kontainer.

     • containerd runtime:

       crictl ps | grep kube-apiserver

       Kemudian jalankan crictl inspect <container-id> untuk memeriksa status kontainer.

Langkah 5: Periksa kontrol akses listener

Periksa apakah kontrol akses diaktifkan untuk listener tersebut.

Jika kontrol akses diaktifkan, daftar putih tidak mencakup rentang IP internal yang digunakan oleh layanan manajemen ACK. Tambahkan blok CIDR 100.104.0.0/16 ke daftar putih. Blok CIDR ini mencakup alamat IP sumber dari permintaan internal yang dikirim oleh layanan manajemen ACK ke API server. Untuk detailnya, lihat Access control.

Langkah 6: Jika masalah tetap berlanjut

Jika langkah-langkah di atas tidak menyelesaikan masalah, atau submit a ticket.

Penyebab

Grup keamanan pada node yang menjalankan Pod tidak mengizinkan lalu lintas masuk pada port TCP 10250, yang digunakan oleh API server untuk mengambil log Pod.

Solusi

1. Periksa apakah Status Pod adalah Running. Jika tidak, selesaikan masalah Pod terlebih dahulu. Untuk detailnya, lihat Pod troubleshooting.

2. Di halaman Nodes > Nodes, temukan node tempat Pod dideploy dan klik ID instans ECS-nya. Di konsol ECS, klik Network & Security > Security Groups.

3. Tinjau semua aturan grup keamanan dan pastikan akses arah masuk dari VPC ke port TCP 10250 diizinkan. Jika belum, tambahkan aturan yang diperlukan. Untuk detailnya, lihat Add a security group rule.

4. Jika masalah tetap berlanjut, atau submit a ticket.

Gejala

Konsol ACK menampilkan kesalahan berikut:

Akun saat ini tidak memiliki izin RBAC yang diperlukan untuk melakukan operasi ini.

Kode kesalahan: ForbiddenQueryClusterNamespace atau APISERVER.403

Penyebab

Akun tidak memiliki izin RBAC yang diperlukan.

Solusi

1. Login ke ACK consoleACK console menggunakan Akun Alibaba Cloud atau akun dengan izin administrator. Di panel navigasi kiri, klik Authorizations.

2. Di tab RAM Users, temukan Pengguna RAM yang mengalami kesalahan tersebut dan klik Modify Permissions.

3. Di panel Permission Management, klik Add Permissions. Pilih kluster, namespace, dan role RBAC yang telah ditentukan, lalu klik Submit.

Gejala

Konsol ACK menampilkan kesalahan berikut:

Akun saat ini tidak memiliki izin RAM yang diperlukan untuk melakukan operasi ini.

Kode kesalahan: StatusForbidden

Penyebab

Akun tidak memiliki izin RAM yang diperlukan.

Solusi

1. Login ke RAM console menggunakan Akun Alibaba Cloud atau akun dengan izin RAM.

2. Berikan izin yang diperlukan berdasarkan aksi CS yang ditampilkan dalam pesan kesalahan (misalnya, cs:DescribeKubernetesVersionMetadata). Untuk detailnya, lihat Create a custom RAM policy.