1. 问题现象与初步诊断
最近在SuperMap云原生环境中遇到一个典型故障:服务器意外重启后,iManager平台虽然能正常登录,但云套件服务集体罢工。检查Kubernetes集群状态时,发现keycloak这个关键组件一直在崩溃重启,状态显示为0/1。这种情况就像酒店前台突然瘫痪——虽然大楼门禁系统(iManager)还能刷卡,但客房服务(云套件)全部停摆。
先给大家演示最基础的排查三板斧。假设我们的环境是icloud-native-4命名空间(实际操作时记得替换成你们的命名空间ID):
# 查看命名空间下所有Pod状态 kubectl get pods -n icloud-native-4 -o wide # 预期正常状态应该是: # keycloak-0 1/1 Running 0 2d # 但实际看到的却是: # keycloak-0 0/1 CrashLoopBackOff 5 3mCrashLoopBackOff这个状态特别有意思,它就像个不断尝试站起来又摔倒的醉汉——容器启动失败后,K8s会以指数退避策略不断重试。这时候千万别急着删Pod,我们先试试更优雅的恢复方式:
# 方案一:StatefulSet的标准重启姿势 kubectl scale sts keycloak --replicas=0 -n icloud-native-4 watch kubectl get pods -n icloud-native-4 # 观察Pod完全终止 kubectl scale sts keycloak --replicas=1 -n icloud-native-42. 日志分析与锁问题定位
如果上述操作无效,就该祭出排障终极武器——日志分析。这里有个小技巧:加上--previous参数可以查看前一个容器的日志,对于快速崩溃的容器特别有用:
kubectl logs keycloak-0 -n icloud-native-4 --previous | grep -i error典型报错会看到这样的关键信息:
ERROR [org.hibernate.engine.jdbc.spi.SqlExceptionHelper] (ServerService Thread Pool -- 62) ERROR: could not obtain lock on row in relation "databasechangeloglock"这个报错揭示了问题本质:PostgreSQL数据库锁未释放。Keycloak使用Liquibase管理数据库变更,当服务器异常断电时,事务中断会导致数据库锁残留。这就好比图书馆管理员突然晕倒,借书登记表上的"正在使用"牌子却没人摘下来。
3. 数据库层深度修复
知道病因后,我们来个精准手术。首先定位PostgreSQL实例:
# 查找PostgreSQL的PVC kubectl get pvc -n icloud-native-4 | grep postgresql # 输出示例:keycloak-postgresql-pvc Bound pvc-92266626-5aac-4899-9a54-a90d777bc84b 50Gi RWO standard 43d # 获取PV的实际挂载路径 kubectl describe pv pvc-92266626-5aac-4899-9a54-a90d777bc84b | grep -A 5 'HostPath'接下来是高风险操作,务必先备份!假设挂载路径是/data/volumes/pvc-xxxx:
# 停止PostgreSQL服务 kubectl scale deployment keycloak-postgresql --replicas=0 -n icloud-native-4 # 手动清理数据库锁(生产环境建议先做完整备份) psql -U keycloak -d keycloak -c "UPDATE databasechangeloglock SET locked=false, lockgranted=null, lockedby=null WHERE id=1;" # 重启服务 kubectl scale deployment keycloak-postgresql --replicas=1 -n icloud-native-44. 服务链恢复与数据重建
数据库修复后,Keycloak应该能正常启动了。但这时候往往会发现iserver-gateway等组件仍然异常,这是因为服务依赖链需要重建。我常用的恢复顺序是:
- 确认PostgreSQL完全就绪(日志无报错)
- 启动Keycloak并验证/admin控制台可访问
- 依次启动iserver-gateway、iserver-servicelist等组件
这里有个避坑经验:Keycloak启动后需要等待至少2分钟再操作其他服务,因为它的内部缓存需要预热。可以用这个命令监控启动进度:
watch -n 5 'kubectl logs keycloak-0 -n icloud-native-4 | tail -20'5. 长效预防措施
经历过几次半夜被叫起来处理这类问题后,我总结了几条预防建议:
- 配置Pod中断预算:给关键组件设置PDB,避免同时宕机
apiVersion: policy/v1 kind: PodDisruptionBudget metadata: name: keycloak-pdb spec: minAvailable: 1 selector: matchLabels: app: keycloak- 数据库连接优化:在keycloak的JDBC连接串中添加参数
jdbc:postgresql://keycloak-postgresql:5432/keycloak?sslmode=disable&socketTimeout=60&connectTimeout=5- 定期Schema检查:设置CronJob每月检查databasechangeloglock表状态
kubectl create cronjob check-db-lock --image=postgres:13 \ --schedule="0 3 * * 1" \ --restart=OnFailure \ -- psql -U keycloak -d keycloak -c "SELECT * FROM databasechangeloglock;"实际运维中,这类问题最考验工程师的不是技术能力,而是保持冷静的心态。记得有次客户生产环境出故障,我边视频指导边听对方键盘敲得震天响,结果发现是caps lock键卡住了。所以遇到问题先深呼吸,按步骤排查,往往最简单的操作就能解决问题。
)
)
