故障场景描述
在 K3s 集群经历长时间运行(如 2 年以上)或底层容器运行时(Containerd)崩溃重启后,Rancher 界面显示集群状态为 Unavailable,错误提示通常为 "Cluster agent is not connected"。
故障诊断流程
第一阶段:排查 K3s 节点健康度
在手动处理 Rancher 连接前,必须确保 K3s 核心服务已恢复。
- 检查容器运行时状态:
1 | # 如果报错 connection refused,说明 containerd 没起 |
- 检查孤儿挂载点(Device busy):Kubelet 频繁报错
device or resource busy会导致 API Server 响应极慢,进而撑挂 Rancher 隧道。
1 | # 查找并懒卸载残留路径 |
- 检查镜像拉取(Nexus/Registry):确保业务 Pod 不再处于
ImagePullBackOff,否则 API Server 会因处理大量重试请求而无暇顾及 Rancher 隧道。
第二阶段:排查 Rancher Agent 日志
观察 cattle-system 命名空间下的 Agent 状态:
1 | kubectl logs -f -n cattle-system -l app=cattle-cluster-agent |
- 正常状态:日志最后一行停在
Connecting to proxy。 - 异常状态:出现
websocket: close 1006或tunnel disconnect,通常意味着长连接被中断或 Token/证书失效。
渐进式解决方案
方案 A:平滑重启(首选)
在不破坏资源的情况下,尝试重置连接 Session。
- 重启 Rancher Server 容器(在 Rancher 宿主机上):
1 | docker restart <rancher_container_id> |
- 重置 Agent Deployment(在 K3s 节点上):
1 | kubectl rollout restart deployment cattle-cluster-agent -n cattle-system |
方案 B:重新注册 Agent(终极方案)
如果平滑重启无效,说明 Rancher 的 Webhook 或 Agent 状态机已死锁,需要彻底重建。
清理现有 Agent 资源
1 | # 删除整个命名空间 |
关键步骤:打破 Webhook 死锁
创建新命名空间时,旧的 Webhook 规则会因为找不到 rancher-webhook 服务而拦截请求,导致创建失败。必须先手动移除:
1 | # 删除拦截命名空间创建的验证规则 |
获取并执行导入命令
在 Rancher UI 中找到该集群,进入 Registration(注册)页面,复制 kubectl apply 命令并执行:
1 | # 示例命令(请以实际生成的为准) |
恢复验证
执行完重新注册后,按以下顺序检查:
- 命名空间重建:
kubectl get ns cattle-system状态应为Active。 - Pod 状态:
kubectl get pod -n cattle-system应显示Running。 - Rancher UI 状态:集群状态应在 1 分钟内从
Unavailable变为Active。
经验总结与预防
- 时间同步:Rancher 与节点时间偏差超过 60s 会导致隧道立即断开,确保存储和计算节点均开启 NTP。
- Webhook 风险:手动删除
cattle-system时,务必记得清理validatingwebhookconfigurations,否则无法重新 apply。 - 证书周期:对于运行 2 年以上的集群,注意 K3s 自动生成的证书是否已自动轮换,重启 K3s 服务通常能触发此逻辑。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 小五的个人杂货铺!
微信- 支付宝
相关推荐
2026-03-23
Rancher 导入集群
导入集群 进入之后选择导入已有集群,随后进入此页面,点击创建 对于自签证书选择第二项,复制,然后在 K3s server 节点执行 问题error: no objects passed to apply 这里的问题主要是无法连接到部署 Rancher 的主机,无法获取 yaml 文件导致的。可以将 yaml 文件直接下载到 K3s server,再手动执行 kubectl apply -f {xxx}.yaml (针对配置了 --tls-san 参数 - 自签证书)可能会执行失败,提示域名 rancher.k3s.cn 不识别(前面的证书域名以及对应 IP) 更新资源的字段 123456789101112131415161718192021222324252627282930313233343536# because the cert was made by myself, so i need configured the hosts, otherwise it does not know my cert's domain name, un...
2026-03-23
Rancher 的安装
官网的话:Rancher 是为使用容器的公司打造的容器管理平台。 安装 RancherDocker 单节点安装 如果容器内的 80 端口映射到宿主机的 8xxx,那么容器内的 443 端口要映射到宿主机的 8443。如果容器内的 80 端口映射到宿主机的 9xxx,那么容器内的 443 端口要映射到宿主机的 9443。 docker 123456##############使用存储卷###############docker run -d --privileged --name rancher-server \--restart=unless-stopped \-p 8080:80 -p 8443:443 \-v /opt/rancher:/var/lib/rancher \rancher/rancher:v2.6.3 docker-compose 1234567891011services: rancher-server: image: rancher/rancher:v2.6.3 container_name: rancher-server ...
2026-03-23
关于 Rancher 的证书轮换策略
参考:https://docs.rancher.cn/docs/rancher2/cluster-admin/certificate-rotation/_index/#%E7%8B%AC%E7%AB%8B%E5%AE%B9%E5%99%A8-rancher-server-%E8%AF%81%E4%B9%A6%E6%9B%B4%E6%96%B0 集群部署略,参考官网 Docker Rancher Server 证书更新证书未过期证书未过期时,Rancher Server 可以正常运行。升级到 Rancher v2.0.14+、v2.1.9+、v2.2.2+ 后会自动检查证书有效期,如果发现证书即将过期,将会自动生成新的证书。所以独立容器运行的 Rancher Server,只需在证书过期前把 Rancher 版本升级到支持自动更新 SSL 证书的版本即可,无需做其他操作。 证书已过期如果证书已过期,那么 Rancher Server 无法正常运行。即使升级到 Rancher v2.0.14+、v2.1.9+、v2.2.2+ 也可能会提示证书错误。如果出现这种情况,可通过以下操作进行...