api_server_dns 和 api_server_direct 告警异常

于 2025-07-16 17:25:32 发布
阅读量988 收藏 25
点赞数 24
CC 4.0 BY-SA版权
分类专栏: K8s 文章标签: K8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hezuijiudexiaobai/article/details/149403380

目录标题

关于你提到的 api_server_dnsapi_server_direct 告警异常,这是 Kubernetes 运维中常见的核心控制面可用性监控项。以下是详细的 告警意义解释、常见原因分析、排查步骤建议

🚨 一、这两个告警的含义是什么?

告警名称含义简述
api_server_dns通过 DNS 名称访问 kube-apiserver 时失败,例如访问 https://kubernetes.default.svc 异常
api_server_direct通过 IP 直连 kube-apiserver 时失败,例如访问 https://<apiserver_ip>:6443 异常

通常这两个探测都由 Prometheus 黑盒探测器() 执行,目的是判断:

  • DNS 解析是否正常(例如 kubernetes.default.svc 解析是否可达)
  • API Server 是否真正可连接、响应健康请求
  • TLS 证书是否过期/无效
  • 网络路径是否异常(如 Service IP、NodePort、LB、iptables 异常)

🔍 二、告警场景分析:可能出现的异常类型

api_server_dns 告警可能是:

原因说明
CoreDNS 异常DNS 无法解析 kubernetes.default.svc
kube-dns Pod 崩溃coredns Pod not ready/crashed
kubelet resolv.conf 错误节点 DNS 配置错误,导致容器内部 DNS 失败
网络插件异常DNS 请求 UDP 53 被阻断
Blackbox-exporter DNS 配置错误自身 DNS 无法解析集群内部域名

api_server_direct 告警可能是:

原因说明
apiserver 挂掉kube-apiserver Pod down 或主节点不可达
TLS 证书异常CA 过期、服务证书无效或被替换
黑盒探测 IP 配置错误探测配置的是错误的 IP 或端口
网络断开探测者到 apiserver IP 路径被防火墙或安全组阻断

🛠 三、排查步骤建议

🧭 Step 1: 确认告警来源与目标地址

  • 查看告警详情(通常由 Prometheus Alertmanager 发出):

    • instance=... 是哪个节点?
    • module=http_2xx_dns / module=http_2xx_direct
    • target=kubernetes.default.svc.cluster.localhttps://x.x.x.x:6443

  • 查看是否全部探测失败,还是单节点失败。

🔎 Step 2: 验证 DNS 探测路径(仅针对 api_server_dns

在 blackbox-exporter 所在节点上运行:

dig kubernetes.default.svc.cluster.local @<Cluster_DNS_IP>
nslookup kubernetes.default

进入容器内测试:

kubectl run dns-test --rm -it --image=busybox -- sh
nslookup kubernetes.default
  • 看看解析是否成功;
  • 若失败,进一步检查 CoreDNS 状态:
kubectl -n kube-system get pods -l k8s-app=kube-dns
kubectl -n kube-system logs -l k8s-app=kube-dns

🔎 Step 3: 验证 API Server 直连探测(仅针对 api_server_direct

在黑盒探测器节点运行 curl:

curl -k https://<apiserver_ip>:6443/healthz
curl -k https://<apiserver_ip>:6443/livez
  • 是否返回 ok
  • 是否是超时、证书问题、拒绝连接?

🔎 Step 4: 检查 apiserver 实例本身

kubectl get pod -n kube-system -l component=kube-apiserver -o wide
kubectl describe pod -n kube-system kube-apiserver-<node>
  • 是否 CrashLoopBackOff?
  • 是否在主节点上 CPU/Mem 压力大?

📊 四、Prometheus 告警配置举例(供参考)

- alert: APIServerDownViaDNS
  expr: probe_success{job="apiserver", module="http_2xx_dns"} == 0
  for: 2m
  labels:
    severity: critical
  annotations:
    summary: "API server via DNS is unreachable"
    description: "Blackbox probe to https://kubernetes.default.svc failed"

- alert: APIServerDownDirect
  expr: probe_success{job="apiserver", module="http_2xx_direct"} == 0
  for: 2m
  labels:
    severity: critical
  annotations:
    summary: "API server via IP is unreachable"
    description: "Blackbox probe to https://<ip>:6443 failed"

✅ 五、如何避免这些告警频繁触发?

方法说明
CoreDNS 高可用部署至少部署 2 个副本,配置反亲和
控制面节点健康探测确保黑盒探测从不同网络路径访问
IP + DNS 双探测配合保证在单一方式失败时仍有备选
定期证书检查kubeadm 签发的证书有过期时间,需提前续签
Prometheus target 抑制机制可避免临时抖动触发告警(例如 for: 2m

✅ 总结

告警意义重点排查
api_server_dnsDNS 方式访问 API Server 异常(通常是 DNS 问题)CoreDNS、DNS 解析链路
api_server_direct直连 IP 方式访问 API Server 异常apiserver 状态、网络连通、证书配置

如果你能提供告警的完整信息(Prometheus 表达式、target、探测 IP/域名等),我可以进一步精准协助你定位问题。是否需要我生成一个标准化的排查 checklist 表格?

SAP 调用第三方 API 接口报错的分析
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
06-26 99
当 ABAP 程序通过SAP ICM充当 HTTP/HTTPS 客户端去调用第三方接口时, 如果远端主机拒绝握手或根本没有在对应端口监听,ICM与底层NI(Network Interface) 便会抛出以及错误. 这类报错本质上是一次三次握手未能在五秒默认超时内完成, 表明网络路径、目标服务或代理配置存在阻断. 通过阅读dev_icm追踪、使用事务SMICMSM59, 再结合nipingtelnet等 OS 工具, 运维人员可以迅速定位是端口未开、IP/域名错误、SSL/代理误配、还是 SAP 参数过窄。
Cilium 1.7发布:Hubble UI、全集群网络策略、基于eBPF的Direct Server Return以及更多
Docker的专栏
02-20 2498
在这里,我们要向大家高兴地宣布,Cilium 1.7版本正式发布了!在本轮更新周期当中,由141位开发者组成的项目社区共完成了1551项提交,而且很多朋友是第一次为Cilium项目提交贡...
NET_DVR_GetErrorMsg 返回最后操作的错误码信息
nn690960430的博客
06-23 4205
官网链接 NET_DVR_GetErrorMsg 返回最后操作的错误码信息。 char * NET_DVR_GetErrorMsg( LONG * pErrorNo ); 参量 pErrorNo [out]错误码数值的指针 返回值 错误代码主要分为网络通讯库,RTSP通讯库,软硬解库,语音对讲库等错误码,详见替换。 网络通讯库错误码 错误类型 错误值 错误信息 NET_DVR_NOERROR 0 没错 NET_DVR_PASSWORD_ERROR 1个 用户名或密码错误。 NET_DVR_NOENOU
pAdTy_2 构建连接网络云的应用程序
记一忘三二
11-30 4334
2015.11.18 - 12.09 个人英文阅读练习笔记。原文地址:http://developer.android.com/training/building-connectivity.html。2015.11.18 此部分内容展示如何编写连接到用户设备之外的世界中去。即怎么在局域中“连接其它设备”、“连接互联网”、“备份及同步应用程序的数据”等内容。1. 无线连接设备如何用网络服务搜索来找
Docker安装Cowrie蜜罐并通过企业微信实现告警
weixin_42451330的博客
11-30 1192
本文介绍了使用docker安装Cowrie蜜罐,并实现了通过shell脚本使用企业微信发送告警信息。
Prometheus监控系部署配置过程
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
10-24 2万+
前言 Prometheus是由SoundCloud开发的开源监控报警系统时序列数据库(TSDB),基于Go语言开发,是Google BorgMon监控系统的开源版本。Prometheus在2016年加入了云原生计算基金会,成为继Kubernetes之后的第二个项目。 Prometheus通过多种数学算法能实现强大的监控需求,原生支持K8S服务发现,能监控容器的动态变化。并且结合Grafana能绘出漂亮图形,然后使用alertmanager或Grafana实现报警。它与其他监控相比有以下主要优势: · 1
连接数据库报com.microsoft.sqlserver.jdbc.SQLServerException: 驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接
拼命小孩的成长专栏
01-06 9144
JDBC加载驱动,连接SQLServer 2012 报com.microsoft.sqlserver.jdbc.SQLServerException: 驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接。错误:“The server selected protocol version TLS10 is not accepted by client preferences [TLS12]
大数据总结
cdmazzq的博客
11-26 3643
Hadoop 学习 1.hvie 不是一个完整的数据库,其中最大的限制是hive不支持记录级别的更新,插入,删除。但是用户可以通过查询生成新表或者将查询结果导入到文件中 PYTHON学习 可以把模块想像成导入到python以增强其功能的扩展。需要使用命令import来导入块。 例子:>>>import math >>>math.floor(23.6) ...
运维系列.在Docker中使用Grafana
jclee95的个人博客
06-11 3229
基于Docker部署grafana相关记录。
Linux 企业面试基础篇-中间组件(2)
weixin_38920945的博客
02-29 429
本篇介绍LINUX常用的基础组件的工作原理,在面试的过程中相关组件的基础原理是必不可少的。1.Nacos的工作原理主要包括以下几个方面:登录后复制 1. 注册中心:Nacos作为一个服务注册中心,服务提供者会将自己的服务实例信息注册到Nacos中心,包括服务名、IP地址、端口等信息。消费者可以通过Nacos中心获取到服务...
第一课 Ceph基础学习-Ceph集群部署基本使用
QnHyn
10-18 1449
ceph部署
造纸机变频分布传动与Modbus RTU通讯技术的应用及其实现
07-26
造纸机变频分布传动与Modbus RTU通讯技术的应用及其优势。首先,文中解释了变频分布传动系统的组成功能,包括采用PLC(如S7-200SMART)、变频器(如英威腾、汇川、ABB)触摸屏(如昆仑通泰)。其次,重点阐述了Modbus RTU通讯协议的作用,它不仅提高了系统的可靠性抗干扰能力,还能实现对造纸机各个生产环节的精确监控调节。最后,强调了该技术在提高造纸机运行效率、稳定性产品质量方面的显著效果,适用于多种类型的造纸机,如圆网造纸机、长网多缸造纸机叠网多缸造纸机。 适合人群:从事造纸机械制造、自动化控制领域的工程师技术人员。 使用场景及目标:① 提升造纸机的自动化水平;② 实现对造纸机的精确控制,确保纸张质量生产效率;③ 改善工业现场的数据传输监控功能。 其他说明:文中提到的具体品牌技术细节有助于实际操作维护,同时也展示了该技术在不同纸厂的成功应用案例。
langchain4j-neo4j-0.29.1.jar中文文档.zip
07-26
1、压缩文件中包含: 中文文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
基于STC89C52单片机的智能衣架电路设计:服装店顾客行为数据分析与传输
最新发布
07-26
内容概要:本文介绍了一种基于STC89C52单片机的智能衣架电路设计方案,旨在通过采集分析顾客在服装店挑选试穿衣物时的行为数据,帮助商家更好地了解顾客的购物习惯偏好。该系统利用ADXL345三轴加速度传感器HX711称重传感器分别检测衣架的角度变化重量变化,记录服装被挑选试穿的次数,并通过LCD1602显示屏实时显示这些数据。此外,蓝牙模块将数据传输到手机,方便店员顾客查看。文中还简述了系统的硬件连接软件代码设计。 适合人群:电子工程技术人员、嵌入式系统开发者、从事零售数据分析的专业人士。 使用场景及目标:适用于服装零售行业,帮助商家优化库存管理、提升顾客购物体验以及进行精准营销。通过对顾客行为数据的实时采集分析,商家可以制定更有针对性的销售策略。 其他说明:本文不仅提供了详细的硬件原理图,还涉及了单片机编程的相关知识,有助于读者全面掌握智能衣架的设计与实现方法。
模糊故障树分析 可靠性工程
07-26
内容概要:本文探讨了利用模糊故障树(FTA)最小割集进行工业控制系统可靠性分析的方法。针对传统FTA依赖于精确概率的问题,文中提出采用三角模糊数表示不确定性不完全信息,通过α截集法处理或门关系,以及用面积法计算单元重要度。具体案例展示了如何构建简单电机过热故障树,并对电源波动、冷却故障控制芯片误判三个基本事件进行了模糊概率建模。实验结果显示顶层事件的故障概率范围较大,强调了考虑模糊数分布特征的重要性。此外,还讨论了与门条件下模糊处理的复杂性,并提供了可视化工具帮助识别潜在的风险因素。 适合人群:从事工业自动化、设备维护管理的专业人士,尤其是那些希望深入了解模糊理论应用于系统安全性可靠性领域的工程师技术研究人员。 使用场景及目标:适用于需要评估复杂系统可靠性的场合,如电力、化工等行业。主要目的是为工程师们提供一种新的视角手段,以便更好地理解预测系统可能出现的问题,从而制定更加合理的预防措施应急预案。 其他说明:文中附有详细的Python代码片段用于解释各个步骤的具体实现方式,同时也列出了几篇重要的参考文献供进一步学习之用。
langchain4j-ollama-spring-boot-starter-0.34.0.jar中文文档.zip
07-26
1、压缩文件中包含: 中文文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
基于yolov8的小目标识别
07-26
模型为yolov8 训练集为VisDrone2019 map50为67% 模型格式为onnx
麦猫_2.5.6.apk
07-26
麦猫_2.5.6.apk
RUDP源码
07-26
一个rup协议,能解决如下问题: <br>1. lost; never delivered <br>2. partially destroyed (data corruption) <br>3. delivered out of order <br>4. duplicated <br>参看http://www.codeplex.com/RUDP/SourceControl/ListDownloadableCommits.aspx
外部普罗米修斯如何监控k8s集群
02-16
<think>嗯,用户问的是外部普罗米修斯如何监控k8s集群。首先,我得确定用户对普罗米修斯k8s的了解程度。可能他们已经有k8s环境,想要用外部的普罗米修斯实例来监控,而不是使用集群内部的。这时候需要考虑两者的网络连接、服务发现、权限等问题。 用户可能是运维或者开发人员,负责维护集群的监控系统。他们可能已经尝试过内部部署,但出于资源隔离、集中管理或者避免单点故障的原因,想要将普罗米修斯部署在集群外部。这时候需要确保外部普罗米修斯能够访问k8sAPI,以及各个组件的metrics端点。 接下来,我得回忆外部普罗米修斯监控k8s的常见方法。通常有两种方式:通过k8s API自动发现,或者手动配置目标。自动发现更灵活,特别是动态环境,但需要配置RBAC正确的服务账户。手动配置可能适合静态环境,但不够灵活。 然后,需要具体步骤。首先,确保k8s组件(如kubelet、apiserver、coredns等)已经暴露了metrics端口。接着,配置普罗米修斯的服务发现,比如使用kubernetes_sd_configs,配置相应的角色,如node、endpoints、pod等。然后,可能需要relabel_configs来筛选重写标签,确保目标正确。 权限方面,普罗米修斯需要能够访问k8s API,所以需要创建ServiceAccount,ClusterRoleClusterRoleBinding。这部分需要详细说明,比如创建具有get、list、watch权限的ClusterRole,并绑定到ServiceAccount,然后外部普罗米修斯使用对应的token进行认证。 另外,要考虑网络访问,外部普罗米修斯需要能访问k8s节点的IPmetrics端口。如果是托管集群,可能需要配置安全组或防火墙规则,允许外部访问。如果是自建集群,可能需要配置NodePort或者LoadBalancer服务来暴露metrics端点。 存储配置管理方面,外部普罗米修斯的配置文件中需要定义scrape_configs,使用kubernetes_sd_configs,并正确配置TLS认证信息。可能需要使用Bearer Token文件,比如挂载ServiceAccount的token。 还有可能需要监控自定义的应用,这时候需要确保应用的Pod暴露了metrics端点,并且有正确的annotations或labels供普罗米修斯自动发现。例如,使用prometheus.io/scrape: "true"这样的注解。 最后,可能需要集成AlertmanagerGrafana,进行告警可视化。这部分用户可能已经了解,但如果有需要的话,可以简要提及。 总结下来,回答需要涵盖服务发现配置、权限设置、网络访问、配置文件实际监控对象的处理步骤。同时,要提醒用户注意安全,比如使用RBAC最小权限,加密通信等。外部</think> Prometheus 监控 Kubernetes 集群的核心是通过服务发现机制动态获取监控目标,并配合权限配置实现跨集群的数据采集。以下是具体实现步骤原理: --- ### **1. 前置条件** - **Metrics 端点暴露**:确保 Kubernetes 组件(kubelet、API Server 等)应用已暴露 Prometheus 格式的 metrics 接口(如 `:10250/metrics`)。 - **网络连通性**:外部 Prometheus 需能访问 Kubernetes 节点的 IP 及 Service 网络(可能需要打通防火墙/NAT)。 --- ### **2. 服务发现配置** 在 Prometheus 的 `prometheus.yml` 中配置 Kubernetes 服务发现模块: ```yaml scrape_configs: - job_name: 'kubernetes-nodes' kubernetes_sd_configs: - role: node # 发现集群所有节点 scheme: https tls_config: insecure_skip_verify: true # 生产环境应配置证书 bearer_token_file: /var/run/secrets/kubernetes.io/serviceaccount/token relabel_configs: - source_labels: [__address__] regex: '(.*):10250' replacement: '${1}:10255' target_label: __address__ ``` --- ### **3. 权限配置(RBAC)** 为 Prometheus 创建 ServiceAccount 并绑定权限: ```yaml # prometheus-rbac.yaml apiVersion: v1 kind: ServiceAccount metadata: name: prometheus-external namespace: monitoring --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: prometheus-external rules: - apiGroups: [""] resources: ["nodes", "services", "pods", "endpoints"] verbs: ["get", "list", "watch"] --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: prometheus-external roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: prometheus-external subjects: - kind: ServiceAccount name: prometheus-external namespace: monitoring ``` 执行 `kubectl apply -f prometheus-rbac.yaml` 应用配置。 --- ### **4. 访问凭证配置** 外部 Prometheus 需使用 ServiceAccount 的 Token 访问 Kubernetes API: ```yaml # 获取 Token(在集群内部执行) kubectl -n monitoring get secret $(kubectl -n monitoring get sa prometheus-external -o jsonpath='{.secrets[0].name}') -o jsonpath='{.data.token}' | base64 -d > token ``` 将生成的 `token` 文件挂载到外部 Prometheus 容器中,并在配置中引用。 --- ### **5. 动态目标 Relabeling** 通过 `relabel_configs` 重写标签,筛选有效监控目标: ```yaml relabel_configs: # 仅抓取带注解 prometheus.io/scrape=true 的 Pod - source_labels: [__meta_kubernetes_pod_annotation_prometheus_io_scrape] action: keep regex: true # 从注解中获取自定义 metrics 路径端口 - source_labels: [__meta_kubernetes_pod_annotation_prometheus_io_path] target_label: __metrics_path__ regex: (.+) - source_labels: [__address__, __meta_kubernetes_pod_annotation_prometheus_io_port] regex: ([^:]+)(?::\d+)?;(\d+) replacement: $1:$2 target_label: __address__ ``` --- ### **6. 高级监控对象** - **API Server**:直接监控 `kubernetes.default.svc:443`。 - **CoreDNS**:通过 Endpoints 发现 `kube-dns` 服务。 - **Node Exporter**:部署 DaemonSet 并在每个节点暴露 `9100` 端口。 --- ### **7. 网络访问模式** | 模式 | 配置方式 | 适用场景 | |--|-----------------------------------|----------------------------| | Direct NodeIP | 直接访问节点 IP + 端口 | 简单环境,节点 IP 可直连 | | NodePort | 通过 NodePort Service 暴露 metrics | 托管集群(如 EKS、GKE) | | Ingress | 通过 Ingress 统一入口 | 需要 HTTPS/域名管理的场景 | --- ### **8. 安全增强** - **TLS 加密**:配置 `tls_config` 使用合法证书。 - **网络策略**:限制 Prometheus 源 IP 访问权限。 - **审计日志**:监控 Kubernetes API异常访问。 --- ### **9. 验证与调试** - 访问 Prometheus 的 `Targets` 页面检查状态。 - 使用 `kubectl get --raw /api/v1/nodes/<node>/proxy/metrics` 手动验证端点。 - 查看 Prometheus 日志排查连接问题。 --- 通过以上步骤,外部 Prometheus 可动态监控 Kubernetes 集群的核心组件、节点资源及业务应用,实现跨集群的统一监控体系。对于混合云或多集群场景,可结合 Thanos 或 VictoriaMetrics 实现数据联邦。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值