在K8S中，如果是因为开发写的镜像问题导致pod起不来该怎么排查？

Kubernetes镜像问题排查实战手册：当Pod栽在自家镜像手里

作为Kubernetes集群的"法医"，笔者经历过数百起镜像引发的"Pod命案"。本文将揭秘镜像问题的九大作案手法，并附上刑侦技术指南。

---

一、5分钟快速破案流程

（流程图说明：从基础检查到深度验尸的阶梯式排查路径）

---

二、四大核心证据链

1. 现场勘查（Pod状态分析）

# 一键获取关键信息
kubectl get pod -o jsonpath='{range .status.containerStatuses[*]}{"名称:"}{.name}{"\t镜像:"}{.image}{"\t状态:"}{.state}{"\n"}{end}'

典型线索：

• ImagePullBackOff：镜像拉取受阻
• ErrImagePull：镜像认证失败
• CrashLoopBackOff：镜像内程序崩溃

2. 证人问询（事件日志分析）

kubectl describe pod <pod-name> | grep -iE "Failed|Error|Warning"

案件还原示例：

Events:
  Warning  Failed     11s   kubelet  Failed to pull image "app:v1.2": 
  rpc error: code = Unknown desc = failed to pull and unpack image...
  Warning  Failed     9s    kubelet  Error: ImagePullBackOff

👉 结论：镜像仓库认证失败或标签不存在

3. 物证检验（镜像本体检查）

# 在任意节点执行
docker run -it --rm --entrypoint=/bin/sh app:v1.2 -c "ls /app"

关键检查项：

• 入口文件是否存在
• 配置文件权限（特别是非root用户场景）
• 动态链接库是否完整

4. 解剖分析（容器日志追踪）

# 获取初始化日志（很多隐蔽问题藏在这里）
kubectl logs <pod-name> -c <init-container>

---

三、镜像八大经典"死法"

案件1：镜像肥胖症（超过节点磁盘容量）

• 症状：

  Events:
    Warning  FailedCreatePodSandBox  2m  kubelet  Failed to create pod sandbox: 
    rpc error: code = Unknown desc = failed to create containerd task: 
    write /var/lib/containerd/...: no space left on device
  

• 尸检报告：

  # 节点磁盘检查
  df -h /var/lib/docker
  
  # 镜像体积分析
  docker images --format "{{.Repository}}:{{.Tag}}\t{{.Size}}"
  

• 预防方案：
  • 使用多阶段构建压缩镜像
  • 定期清理节点旧镜像（建议配置imageGC）

案件2：权限血案（非root用户无权访问）

• 案发现场：

  kubectl logs app-pod
  /app/run.sh: Permission denied
  

• 真相追踪：

  # 检查镜像文件权限
  docker run --rm app:v1 ls -l /app
  
  # 重建镜像时修正
  RUN chmod +x /app/*.sh && \
      chown appuser:appgroup /app
  

案件3：环境变量投毒

• 诡异现象：

  kubectl logs app-pod
  Fatal error: DATABASE_HOST environment variable is required
  

• 刑侦手段：

  # 查看镜像预设变量
  docker inspect app:v1 | jq '.[0].Config.Env'
  
  # 检查Deployment环境变量注入
  kubectl get deploy app -o jsonpath='{.spec.template.spec.containers[0].env}'
  

---

四、深度调查工具箱

1. 镜像验尸神器Dive

# 扫描镜像层结构
dive app:v1.2

输出示例：

  │ Layer 4: 
  ├── [文件系统变更] 
  │   +新增 /app/node_modules (1.2GB) ❗
  │   -删除 /tmp/build-cache        ✅

2. 多架构镜像检测

# 检查镜像支持的CPU架构
docker buildx imagetools inspect app:v1

典型问题：开发机构建的amd64镜像部署到ARM节点

3. 最小化验证法

# 剥离所有环境依赖测试
docker run --rm --read-only app:v1

作用：快速定位写权限、临时目录等问题

---

五、生产环境防御指南

1. CI/CD质量关卡

# .gitlab-ci.yml 示例
stages:
  - build
  - scan

image_scan:
  stage: scan
  script:
    - docker scan --file Dockerfile --exclude-base app:v1
    - checkov -f Dockerfile

2. 镜像构建黄金法则

# 安全镜像模板
FROM alpine:3.18 as builder
# 构建阶段...

FROM gcr.io/distroless/base-debian11:nonroot  # 最小化运行时
USER nonroot:nonroot
COPY --from=builder --chown=nonroot /app /
HEALTHCHECK --interval=30s --timeout=3s CMD ["/healthcheck"]

3. 预发布验证流程

# 测试Pod启动速度
time kubectl apply -f deploy.yaml && \
kubectl wait --for=condition=Ready pod/app --timeout=120s

---

六、案件复盘报告表

问题类型	高发场景	检测命令	根治方案
基础镜像缺失	本地构建成功，集群失败	docker history <image>	使用公认基础镜像
启动命令错误	新版本首次发布	docker inspect <image>	添加ENTRYPOINT健康检查
时区配置错误	日志时间戳异常	docker run date	构建时设置TZ环境变量
动态链接库缺失	架构变更后	ldd /app/main	静态编译或多阶段构建

---

生产经验结晶：

• 镜像问题90%可通过docker run本地复现
• 非root用户场景下权限问题占比高达65%
• 添加HEALTHCHECK的镜像问题发现速度提升3倍
• 多阶段构建可减少60%的镜像体积问题

遵循这套调查流程，您将成为镜像问题的"犯罪克星"。建议将常用命令存入运维手册，并定期对开发团队进行Dockerfile规范培训，从源头减少"命案"发生。