本文介紹容器計算服務 ACS(Container Compute Service)控制臺訪問集群異常問題的現象、問題原因和解決方案。主要問題包括:當前集群API Server請求異常、訪問容器組日志時報錯API Server請求異常、當前賬號未被授予該操作所需的集群RBAC權限和當前賬號未被授予該操作所需的RAM權限。
當前集群APIServer請求異常
問題現象
當您在控制臺訪問集群資源時,出現報錯“當前集群APIServer請求異常”,錯誤碼:ErrorQueryClusterNamespace或APIServer.500。
問題原因
由API Server負載均衡配置或者狀態(tài)異常導致容器計算服務管控與集群API Server之間連接失敗。
解決方案
登錄容器計算服務控制臺,在左側導航欄選擇集群。
在集群列表頁面中,單擊目標集群。
在集群管理頁,單擊集群資源頁簽,然后單擊API Server 負載均衡(SLB)后面的鏈接,跳轉到負載均衡管理控制臺。
如果界面提示負載均衡ID不存在,則說明API Server的負載均衡實例被刪除或釋放。集群不可恢復,您需要重新創(chuàng)建集群。詳細信息,請參見創(chuàng)建ACS集群。
否則,繼續(xù)執(zhí)行下一步。
查看該負載均衡實例的狀態(tài)是否為運行中。
如果否,檢查實例是否處于欠費停止(按量付費實例)或到期鎖定狀態(tài)(包年包月實例)。請先完成續(xù)費,然后重新啟用實例。關于負載均衡的欠費說明,請參見欠費說明。
如果是,繼續(xù)執(zhí)行下一步。
查看該負載均衡實例的監(jiān)聽,確認前端和后端是否均存在TCP:6443的監(jiān)聽,且運行狀態(tài)是否為運行中。
如果否,說明API Server負載均衡監(jiān)聽被修改。
若監(jiān)聽存在,但處于停止狀態(tài),請選擇該項監(jiān)聽,然后單擊啟動。
若監(jiān)聽不存在,請提交工單咨詢。
如果是,繼續(xù)執(zhí)行下一步。
查看上述監(jiān)聽的健康檢查狀態(tài)是否為正常。
如果否,則說明API Server的負載均衡后端異常。請提交工單咨詢。
如果是,繼續(xù)執(zhí)行下一步。
查看上述監(jiān)聽是否啟用了訪問控制。
如果是,則說明API Server的負載均衡監(jiān)聽訪問控制白名單未正確配置。在訪問控制策略中將地址段
100.104.0.0/16添加到白名單,該地址段為ACS管控內部訪問API Server的請求來源地址段。有關訪問控制的詳細信息,請參見訪問控制。如果否,繼續(xù)執(zhí)行下一步。
若以上均不符合,請提交工單咨詢。
訪問容器組日志時報錯API Server請求異常
若您在查看容器組日志時遇到該問題,而集群其他資源均可正常訪問,您可以按以下步驟排查。
查看容器組運行狀態(tài)是否為Running,若不是,請參見Pod異常問題排查。
檢查所有安全組規(guī)則,確認是否開放了來自VPC私網、目標端口為TCP/10250的入方向訪問,若未開放,請?zhí)砑由鲜霭踩M規(guī)則。詳細信息,請參見添加安全組規(guī)則。
若以上均不符合,請提交工單咨詢。
當前賬號未被授予該操作所需的集群RBAC權限
問題現象
當您訪問控制臺時,出現報錯“當前賬號未被授予該操作所需的集群RBAC權限”,錯誤碼:ForbiddenQueryClusterNamespace或APISERVER.403。
問題原因
您使用的賬號未被授予當前操作所需的集群RBAC權限。
解決方案
使用阿里云賬號或者具有管理員權限的賬號登錄容器計算服務控制臺,在左側導航欄中選擇授權管理。
在RAM用戶頁簽查找出現報錯的用戶名,單擊用戶名右側的管理權限。
在權限管理頁面,單擊添加權限,選擇對應集群、命名空間和權限管理,單擊提交授權。
當前賬號未被授予該操作所需的RAM權限
問題現象
當您訪問控制臺時,出現報錯“當前賬號未被授予該操作所需的RAM權限”,錯誤碼:StatusForbidden。
問題原因
您使用的賬號未被授予當前操作所需的RAM權限。
解決方案
使用阿里云賬號或者具有RAM權限的賬號登錄RAM管理控制臺。
根據錯誤提示頁面的CS信息為您的賬號添加相應的授權,例如cs:DescribeKubernetesVersionMetadata。詳細操作,請參見為RAM用戶或RAM角色授予RAM權限。