Centro de Conocimiento DevOps
Centro de Conocimiento DevOps

Solución de problemas: ¿Por qué mi Pod de Kubernetes se queda atascado en Pending o CrashLoopBackOff?

Los Pods de Kubernetes atascados en `Pending` o `CrashLoopBackOff` pueden paralizar las implementaciones. Esta guía completa desmitifica estos estados comunes, ofreciendo una resolución de problemas práctica y paso a paso. Aprenda a diagnosticar problemas como restricciones de recursos, errores de extracción de imágenes, fallos de aplicaciones y configuraciones incorrectas de sondeos (probes) utilizando comandos `kubectl`. Empodérese con conocimientos prácticos y las mejores prácticas para resolver rápidamente los problemas de los Pods y mantener un entorno de Kubernetes robusto y fiable, asegurando que sus aplicaciones estén siempre en funcionamiento.

27 vistas

Solución de problemas: ¿Por qué mi Pod de Kubernetes está atascado en Pendiente o CrashLoopBackOff?

Kubernetes ha revolucionado la forma en que implementamos y gestionamos aplicaciones contenerizadas, ofreciendo una escalabilidad y resiliencia sin precedentes. Sin embargo, incluso en un entorno bien orquestado, los Pods a veces pueden encontrar problemas que impiden que alcancen el estado Running. Dos de los estados más comunes y frustrantes para un Pod son Pending y CrashLoopBackOff. Comprender por qué sus Pods se quedan atascados en estos estados y cómo diagnosticarlos eficazmente es crucial para mantener aplicaciones saludables y confiables.

Este artículo profundiza en las causas comunes de que los Pods se queden atascados en Pending o CrashLoopBackOff. Exploraremos problemas que van desde restricciones de recursos y fallos en la extracción de imágenes hasta errores a nivel de aplicación y sondas mal configuradas. Más importante aún, proporcionaremos una guía paso a paso con comandos prácticos de kubectl para ayudarlo a diagnosticar y resolver rápidamente estos dolores de cabeza de implementación, asegurando que sus aplicaciones funcionen sin problemas.

Entendiendo los Estados del Pod: Pendiente vs. CrashLoopBackOff

Antes de sumergirnos en la solución de problemas, es esencial comprender qué significan estos dos estados.

Estado del Pod: Pendiente (Pending)

Un Pod en estado Pending significa que el planificador de Kubernetes ha aceptado el Pod, pero aún no ha sido programado con éxito en un nodo o que todos sus contenedores no han sido creados/inicializados. Esto normalmente indica un problema que impide que el Pod comience su viaje en un nodo trabajador.

Estado del Pod: CrashLoopBackOff

Un Pod en CrashLoopBackOff significa que un contenedor dentro del Pod se inicia, falla y se reinicia repetidamente. Kubernetes implementa un retraso de reintento exponencial entre reinicios para evitar sobrecargar el nodo. Este estado casi siempre apunta a un problema con la aplicación que se ejecuta dentro del propio contenedor o su entorno inmediato.

Solución de problemas de Pods en estado Pendiente

Cuando un Pod está Pending, el primer lugar donde mirar es el planificador y el nodo al que intenta acceder. Aquí están las causas comunes y los pasos de diagnóstico.

1. Recursos Insuficientes en los Nodos

Una de las razones más frecuentes por las que un Pod está Pending es que ningún nodo en el clúster tiene suficientes recursos disponibles (CPU, memoria) para satisfacer las requests del Pod. El planificador no puede encontrar un nodo adecuado.

Pasos de Diagnóstico:

  1. Describir el Pod: El comando kubectl describe pod es tu mejor amigo aquí. A menudo mostrará eventos que detallan por qué el Pod no puede ser programado.
    bash kubectl describe pod <nombre-del-pod> -n <namespace>
    Busca eventos como "FailedScheduling" y mensajes como "0/3 nodes are available: 3 Insufficient cpu" o "memory".

  2. Verificar Recursos del Nodo: Ver el uso actual de recursos y la capacidad de sus nodos.
    bash kubectl get nodes kubectl top nodes # (requiere metrics-server)

Solución:

  • Aumentar la Capacidad del Clúster: Agregue más nodos a su clúster de Kubernetes.
  • Ajustar las Solicitudes de Recursos del Pod: Reduzca las requests de CPU y memoria en el manifiesto de su Pod si están configuradas demasiado altas.
    yaml resources: requests: memory: "128Mi" cpu: "250m"
  • Evacuar Otros Pods: Evacuar manualmente Pods de menor prioridad de los nodos para liberar recursos (usar con precaución).

2. Errores de Extracción de Imagen

Si Kubernetes puede programar el Pod en un nodo, pero el nodo no logra extraer la imagen del contenedor, el Pod permanecerá Pending.

Causas Comunes:

  • Nombre/Etiqueta de Imagen Incorrecta: Errores tipográficos en el nombre de la imagen o uso de una etiqueta inexistente.
  • Autenticación de Registro Privado: ImagePullSecrets faltantes o incorrectos para registros privados.
  • Problemas de Red: El nodo no puede alcanzar el registro de imágenes.

Pasos de Diagnóstico:

  1. Describir el Pod: Nuevamente, kubectl describe pod es clave. Busque eventos como "Failed" o "ErrImagePull" o "ImagePullBackOff".
    bash kubectl describe pod <nombre-del-pod> -n <namespace>
    Ejemplo de evento de salida: Failed to pull image "my-private-registry/my-app:v1.0": rpc error: code = Unknown desc = Error response from daemon: pull access denied for my-private-registry/my-app, repository does not exist or may require 'docker login'

  2. Verificar ImagePullSecrets: Asegúrese de que imagePullSecrets estén configurados correctamente en su Pod o ServiceAccount.
    bash kubectl get secret <tu-image-pull-secret> -o yaml -n <namespace>

Solución:

  • Nombre/Etiqueta de Imagen Correcta: Verifique el nombre y la etiqueta de la imagen en su manifiesto de implementación.
  • Configurar ImagePullSecrets: Asegúrese de haber creado un secreto de docker-registry y haberlo vinculado a su Pod o ServiceAccount.
    bash kubectl create secret docker-registry my-registry-secret \n --docker-server=your-registry.com \n --docker-username=your-username \n --docker-password=your-password \n --docker-email=your-email -n <namespace>
    Luego, agréguelo a la especificación de su Pod:
    ```yaml
    spec:
    imagePullSecrets:
    • name: my-registry-secret
      containers:
      ...
      ```
  • Conectividad de Red: Verifique la conectividad de red desde el nodo al registro de imágenes.

3. Problemas relacionados con el Volumen

Si su Pod requiere un PersistentVolumeClaim (PVC) y el PersistentVolume (PV) correspondiente no puede ser aprovisionado o enlazado, el Pod permanecerá Pending.

Pasos de Diagnóstico:

  1. Describir el Pod: Busque eventos relacionados con volúmenes.
    bash kubectl describe pod <nombre-del-pod> -n <namespace>
    Los eventos podrían mostrar FailedAttachVolume, FailedMount, o mensajes similares.

  2. Verificar el Estado del PVC y PV: Inspeccione el estado del PVC y PV.
    bash kubectl get pvc <nombre-del-pvc> -n <namespace> kubectl get pv
    Busque PVCs atascados en Pending o PVs no enlazados.

Solución:

  • Asegurar StorageClass: Asegúrese de que se defina y esté disponible una StorageClass, especialmente si usa aprovisionamiento dinámico.
  • Verificar Disponibilidad de PV: Si usa aprovisionamiento estático, asegúrese de que el PV exista y coincida con los criterios del PVC.
  • Verificar Modos de Acceso: Asegúrese de que los modos de acceso (por ejemplo, ReadWriteOnce, ReadWriteMany) sean compatibles.

Solución de problemas de Pods en estado CrashLoopBackOff

Un estado CrashLoopBackOff indica un problema a nivel de aplicación. El contenedor se inició correctamente pero luego salió con un error, lo que provocó que Kubernetes lo reiniciara repetidamente.

1. Errores de Aplicación

La causa más común es que la propia aplicación no se inicia o encuentra un error fatal poco después de iniciarse.

Causas Comunes:

  • Dependencias/Configuración Faltantes: La aplicación no encuentra archivos de configuración críticos, variables de entorno o servicios externos de los que depende.
  • Comando/Argumentos Incorrectos: El command o args especificados en la especificación del contenedor son incorrectos o conducen a una salida inmediata.
  • Errores de Lógica de la Aplicación: Errores en el código de la aplicación que hacen que se bloquee al iniciar.

Pasos de Diagnóstico:

  1. Ver Registros del Pod: Este es el paso más crítico. Los registros a menudo mostrarán el mensaje de error exacto que causó que la aplicación fallara.
    bash kubectl logs <nombre-del-pod> -n <namespace>
    Si el Pod se bloquea repetidamente, los registros podrían mostrar la salida del intento fallido más reciente. Para ver los registros de una instancia anterior de un contenedor que falla, use la bandera -p (previous):
    bash kubectl logs <nombre-del-pod> -p -n <namespace>

  2. Describir el Pod: Busque Restart Count en la sección Containers, que indica cuántas veces ha fallado el contenedor. También, verifique Last State para Exit Code.
    bash kubectl describe pod <nombre-del-pod> -n <namespace>
    Un código de salida de 0 generalmente significa un cierre ordenado, pero cualquier código de salida distinto de cero significa un error. Los códigos de salida distintos de cero comunes incluyen 1 (error general), 137 (SIGKILL, a menudo OOMKilled), 139 (SIGSEGV, fallo de segmentación).

Solución:

  • Revisar Registros de la Aplicación: Basado en los registros, depure el código o la configuración de su aplicación. Asegúrese de que todas las variables de entorno requeridas, ConfigMaps y Secrets estén montados/inyectados correctamente.
  • Probar Localmente: Intente ejecutar la imagen del contenedor localmente con las mismas variables de entorno y comandos para reproducir y depurar el problema.

2. Fallo de las Sondas de Liveness y Readiness

Kubernetes utiliza sondas de Liveness y Readiness para determinar la salud y disponibilidad de su aplicación. Si una sonda de liveness falla continuamente, Kubernetes reiniciará el contenedor, lo que provocará CrashLoopBackOff.

Pasos de Diagnóstico:

  1. Describir el Pod: Verifique las definiciones de las sondas Liveness y Readiness y su Last State en la sección Containers.
    bash kubectl describe pod <nombre-del-pod> -n <namespace>
    Busque mensajes que indiquen fallos de la sonda, como "Liveness probe failed: HTTP probe failed with statuscode: 500".

  2. Revisar Registros de la Aplicación: A veces, los registros de la aplicación proporcionarán contexto sobre por qué el punto final de la sonda está fallando.

Solución:

  • Ajustar Configuración de la Sonda: Corrija el path, port, command, initialDelaySeconds, periodSeconds, o failureThreshold de la sonda.
  • Asegurar la Salud del Punto Final de la Sonda: Verifique que el punto final de la aplicación al que apunta la sonda esté realmente saludable y responda como se espera. La aplicación podría tardar demasiado en iniciarse, lo que requiere un initialDelaySeconds mayor.

3. Límites de Recursos Excedidos

Si un contenedor intenta consistentemente usar más memoria que su memory.limit o sufre estrangulamiento de CPU debido a exceder su cpu.limit, el kernel puede terminar el proceso, a menudo con un evento OOMKilled (Out Of Memory Killed).

Pasos de Diagnóstico:

  1. Describir el Pod: Busque OOMKilled en la sección Last State o Events. Un Exit Code: 137 a menudo indica un evento OOMKilled.
    bash kubectl describe pod <nombre-del-pod> -n <namespace>

  2. Verificar kubectl top: Si está instalado metrics-server, use kubectl top pod para ver el uso real de recursos de sus Pods.
    bash kubectl top pod <nombre-del-pod> -n <namespace>

Solución:

  • Aumentar Límites de Recursos: Si su aplicación realmente necesita más recursos, aumente los limits de memory y/o cpu en el manifiesto de su Pod. Esto podría requerir más capacidad en sus nodos.
    yaml resources: requests: memory: "256Mi" cpu: "500m" limits: memory: "512Mi" # Aumentar esto cpu: "1000m" # Aumentar esto
  • Optimizar Aplicación: Perfile su aplicación para identificar y reducir su consumo de recursos.

4. Problemas de Permisos

Los contenedores podrían fallar si carecen de los permisos necesarios para acceder a archivos, directorios o recursos de red que requieren.

Pasos de Diagnóstico:

  1. Revisar Registros: Los registros de la aplicación podrían mostrar errores de permiso denegado (EACCES).
  2. Describir Pod: Verifique la ServiceAccount que se está utilizando y cualquier configuración de securityContext montada.

Solución:

  • Ajustar securityContext: Establezca runAsUser, fsGroup, o allowPrivilegeEscalation según sea necesario.
  • Permisos de ServiceAccount: Asegúrese de que la ServiceAccount asociada con el Pod tenga los Roles y ClusterRoles necesarios vinculados a través de RoleBindings y ClusterRoleBindings.
  • Permisos de Volumen: Asegúrese de que los volúmenes montados (por ejemplo, emptyDir, hostPath, ConfigMap, Secret) tengan los permisos correctos para el usuario del contenedor.

Pasos Generales de Diagnóstico y Herramientas

Aquí hay una lista rápida de comandos para ejecutar cuando se enfrente a problemas con los Pods:

  • Obtener una Vista Rápida: Verifique el estado de sus Pods.
    bash kubectl get pods -n <namespace> kubectl get pods -n <namespace> -o wide
  • Información Detallada del Pod: El comando más crucial para comprender eventos, estados y condiciones del Pod.
    bash kubectl describe pod <nombre-del-pod> -n <namespace>
  • Registros del Contenedor: Vea lo que su aplicación está reportando.
    bash kubectl logs <nombre-del-pod> -n <namespace> kubectl logs <nombre-del-pod> -p -n <namespace> # Instancia anterior kubectl logs <nombre-del-pod> -f -n <namespace> # Seguir registros
  • Eventos a Nivel de Clúster: A veces, el problema no está en un Pod específico, sino en un evento a nivel de clúster (por ejemplo, presión en el nodo).
    bash kubectl get events -n <namespace>
  • Depuración Interactiva: Si su contenedor se inicia pero falla rápidamente, es posible que pueda acceder a él (exec) por un breve momento o a un contenedor de depuración separado si está configurado.
    bash kubectl exec -it <nombre-del-pod> -n <namespace> -- bash
    (Nota: Esto solo funciona si el contenedor se mantiene vivo el tiempo suficiente para adjuntarse.)

Mejores Prácticas para Evitar Problemas con los Pods

La prevención es siempre mejor que la cura. Seguir estas mejores prácticas puede reducir significativamente los incidentes de Pending y CrashLoopBackOff:

  • Establecer Solicitudes y Límites de Recursos Realistas: Comience con requests y limits razonables, luego ajústelos según el perfilado y la monitorización de la aplicación.
  • Usar Etiquetas de Imagen Específicas: Evite las etiquetas latest en producción. Use etiquetas inmutables (por ejemplo, v1.2.3, commit-sha) para la reproducibilidad.
  • Implementar Sondas Robustas: Configure sondas de liveness y readiness que reflejen con precisión el estado de su aplicación. Tenga en cuenta los tiempos de inicio con initialDelaySeconds.
  • Registro y Monitorización Centralizados: Utilice herramientas como Prometheus, Grafana, la pila ELK o servicios de registro nativos de la nube para recopilar y analizar los registros y métricas de los Pods.
  • Control de Versiones para Manifiestos: Almacene sus manifiestos de Kubernetes en un sistema de control de versiones (por ejemplo, Git) para rastrear cambios y facilitar las reversiones.
  • Pruebas Exhaustivas: Pruebe sus imágenes de contenedor y implementaciones de Kubernetes en entornos de desarrollo y staging antes de implementarlas en producción.
  • Cierres Ordenados: Asegúrese de que sus aplicaciones manejen las señales SIGTERM para cierres ordenados, permitiéndoles liberar recursos antes de la terminación.

Conclusión

Encontrarse con Pods atascados en Pending o CrashLoopBackOff es un escenario común en entornos de Kubernetes. Aunque inicialmente desalentadores, estos estados proporcionan pistas valiosas. Al examinar sistemáticamente las descripciones de los Pods, los registros y los eventos del clúster, puede identificar la causa raíz, ya sea una restricción de recursos, un fallo en la extracción de imágenes o un error a nivel de aplicación. Armado con los pasos de diagnóstico y las mejores prácticas descritas en esta guía, estará bien equipado para mantener sus implementaciones de Kubernetes saludables y sus aplicaciones funcionando de manera confiable. ¡Feliz depuración!