一次 nerdctl prune -a 导致 Kubernetes 节点不可用的复盘

背景

Kubernetes 节点磁盘快满了(90%+),

第一反应非常自然:清理无用容器和镜像

节点使用的是 containerd,于是直接执行:

js 复制代码
nerdctl prune -a

磁盘立刻释放,看起来一切正常。

几分钟后,Pod 开始起不来了。

问题现象

kubelet 持续报错,所有新 Pod 卡在 ContainerCreating:

js 复制代码
Warning  FailedCreatePodSandBox
Failed to create pod sandbox:
failed to get sandbox image "localhost/kubernetes/pause"
failed to pull image "localhost/kubernetes/pause:latest"
dial tcp 127.0.0.1:443: connect: connection refused

表现:

  • 节点 NotReady
  • Pod 无法创建
  • 老 Pod 不受影响,新 Pod 全挂

紧急恢复操作

执行以下操作后集群恢复:

js 复制代码
sudo sed -i 's|sandbox_image = .*|sandbox_image = "registry.k8s.io/pause:3.9"|' \
  /etc/containerd/config.toml
sudo systemctl restart containerd
sudo systemctl restart kubelet

Pod 能正常创建,但问题本身并没有真正解释清楚。

根因分析

Kubernetes 强依赖 pause 镜像

在 containerd + kubelet 架构中:

  • 每个 Pod 都需要一个 sandbox
  • sandbox 本质是一个 pause 容器
  • 镜像由 containerd 的 CRI 插件管理

containerd 默认配置:

js 复制代码
sandbox_image = "registry.k8s.io/pause:3.9"

nerdctl prune -a 干了什么?

js 复制代码
nerdctl prune -a

实际含义是:

删除所有未被"当前运行容器"使用的资源*

而问题在于:

  • pause 镜像 不是运行容器
  • 但 kubelet 随时需要

结果就是:

Kubernetes 的基础镜像被当成"无用资源"删掉了

为什么会拉 localhost/kubernetes/pause ?

当 sandbox 镜像不存在时:

  • containerd 会尝试 fallback 地址
  • 节点没有本地 registry
  • 最终请求 https://localhost/v2/... 直接失败

这个错误非常迷惑,但根因还是 pause 镜像被删

生产环境安全清理建议

只清理停止容器(推荐)

js 复制代码
nerdctl container prune

只清理悬空镜像

js 复制代码
nerdctl image prune

带时间窗口清理镜像

js 复制代码
nerdctl image prune --all --filter until=240h

磁盘满的"真正大头":日志

这一步经常能直接释放大量空间

js 复制代码
find /var/log/containers -type f -name "*.log" -size +100M -exec truncate -s 0 {} \;
find /var/log/pods -type f -name "*.log" -size +100M -exec truncate -s 0 {} \;
相关推荐
运维开发故事5 天前
基于 Arthas 的多集群在线诊断系统设计与实现
kubernetes
Patrick_Wilson6 天前
从「改个端口」到 502:Next.js on k8s 的容器端口、Service 映射与 env 覆盖
docker·kubernetes·next.js
探索云原生7 天前
K8s 1.36 这个 GA 特性,把 initContainer 拉模型的 hack 干掉了
ai·云原生·kubernetes
Java之美8 天前
一次k8s升级引发的DevicePlugin注册失败
云原生·kubernetes
java_cj15 天前
深入kube-apiserver认证机制:从Bearer Token到mTLS的完整认证链解析
linux·运维·服务器·云原生·容器·kubernetes
qq_4523962315 天前
第十三篇:《K8s 安全基础:RBAC、ServiceAccount、Pod Security》
java·安全·kubernetes
睡不醒男孩03082315 天前
云原生运维实战:高并发架构下的云原生可观测性、韧性降级与自动化干预体系
数据库·kubernetes·高并发·prometheus·devops·sre·缓存调优
qq_4523962315 天前
第十四篇:《K8s 网络模型与 CNI 插件(Calico、Flannel、Cilium)》
网络·kubernetes·php
Hadoop_Liang15 天前
Kubernetes 应用 HTTPS 安全访问配置实践
https·kubernetes