Kubernetes集群中Calico网络插件报错问题分析及解决过程

更新时间：2025年10月02日 16:41:28 作者：XMYX-0

Kubernetes集群中Calico网络插件报错（如FailedCreatePodSandBox）通常由配置错误、RBAC权限缺失或组件故障导致,解决方法包括重启Calico组件、验证配置和权限,定期监控与维护以确保网络正常运行

Warning FailedCreatePodSandBox 2m12s (x948 over 4h40m) kubelet (combined from similar events): Failed to create pod sandbox: rpc error: code = Unknown desc = failed to setup network for sandbox "f1bad101398181563b3142f01e83075f11fad27029bd649a46a45d4f321e2c1a": error getting ClusterInformation: connection is unauthorized: Unauthorized

问题分析

pod状态

[root@master ~]# kubectl -n test get pods  |grep ContainerCreating
test-744cdc6769-shb27              0/1     ContainerCreating   0              4h37m
test-server-78f8c54485-f59jg       0/1     ContainerCreating   0              4h42m
[root@master ~]#

报错解读

Failed to create pod sandbox：Pod 沙箱创建失败，表明网络插件未能正常初始化。
failed to setup network for sandbox：无法为 Pod 配置网络，可能与 Calico 的配置或组件状态有关。
error getting ClusterInformation：无法获取 ClusterInformation，可能是认证失败或组件通信异常。

可能原因

Calico 配置异常：Calico 的配置文件中可能存在错误，导致与 etcd 或 Kubernetes API 的通信失败。
RBAC 权限丢失：Calico 的服务账户可能缺少必要的权限访问 ClusterInformation。
组件异常：calico-node 或 calico-kube-controllers 出现故障，无法正常运行。
Kubernetes API 服务异常：临时的 API 不可用或认证问题导致组件无法正常通信。

解决方案

在排查问题后，可以通过以下步骤解决问题：

重启 Calico 相关组件

首先，删除异常的 Calico Pod，让 Kubernetes 自动重新创建它们。

kubectl -n kube-system delete pods calico-node-<NODE_NAME> calico-kube-controllers-<POD_NAME>

示例：

kubectl -n kube-system delete pods calico-node-mm5k8 calico-kube-controllers-78d6f96c7b-pldrx

重启这些组件可以重新初始化网络插件，加载配置并建立与 Kubernetes API 的通信。

验证问题是否解决

查看 Calico Pod 状态：

kubectl get pods -n kube-system -o wide | grep calico

查看 Pod 日志，确保没有新的报错：

kubectl logs -n kube-system calico-node-<POD_NAME>
kubectl logs -n kube-system calico-kube-controllers-<POD_NAME>

测试 Pod 间通信是否恢复正常：

kubectl run test-pod --image=busybox --restart=Never -- sleep 3600
kubectl exec test-pod -- ping <TARGET_POD_IP>

进一步检查和优化

为了避免类似问题再次发生，建议进行以下操作：

检查 Calico 配置

确保 Calico 的配置文件（如 ConfigMap）中，API 和 etcd 的连接信息正确：

kubectl -n kube-system describe configmap calico-config

验证 RBAC 权限

Calico 的服务账户需要具备访问 ClusterInformation 的权限，检查其角色和绑定：

kubectl get clusterrole calico-node -o yaml
kubectl get clusterrolebinding calico-node -o yaml

监控 Calico 状态

使用 Calico 提供的 calicoctl 工具或 Kubernetes 的日志和事件查看 Calico 的健康状况：

calicoctl node status

定期更新和维护

版本兼容性检查：确保 Calico 版本与 Kubernetes 版本兼容。
备份配置：定期备份 Calico 的配置文件和网络策略。
网络监控：通过 Prometheus 和 Grafana 监控 Calico 和 Kubernetes 网络状态。

总结

通过重启 Calico 组件并重新初始化，可以快速修复网络插件导致的 Pod 沙箱创建失败问题。同时，为了提高集群的稳定性，应定期检查配置、权限和监控状态，确保 Calico 和 Kubernetes 网络的正常运行。

以上为个人经验，希望能给大家一个参考，也希望大家多多支持脚本之家。

您可能感兴趣的文章:

Kubernetes之Pod的调度实现方式
Kubernetes通过定向调度（NodeName/NodeSelector）、亲和性调度（NodeAffinity/PodAffinity/PodAntiAffinity）及污点容忍（Taints/Toleration）实现Pod节点控制,分别用于强制指定节点、优化部署位置和灵活管理节点准入,满足不同场景下的调度需求
2025-09-09
Rainbond应用分享与发布官方文档说明
这篇文章主要为大家介绍了Rainbond应用分享与发布的官方文档说明，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪
2022-04-04
K8s-helm简介及基本概念详解
Helm 使用的包格式称为 chart，它是一个描述 Kubernetes 相关资源对象的文件集合，这篇文章主要介绍了K8s-helm简介及基本概念,需要的朋友可以参考下
2022-07-07
详解k8s ConfigMap 中 subPath 字段和 items
volumeMounts.subPath 属性可用于指定所引用的卷内的子路径，而不是其根路径，这篇文章主要介绍了详解k8s ConfigMap 中 subPath 字段和 items 字段,需要的朋友可以参考下
2023-03-03
Kubernetes 权限管理认证鉴权详解
这篇文章主要为大家介绍了Kubernetes 权限管理认证鉴权详解，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪
2022-11-11
k8s自动化安装脚本(二进制)的操作步骤
Kubernetes k8s安装脚本,非常好用,下面这篇文章主要给大家介绍了关于k8s自动化安装脚本(二进制)的操作步骤,文中通过图文介绍的非常详细,需要的朋友可以参考下
2022-09-09
K8S-ConfigMap实现应用和配置分离详解
这篇文章主要为大家介绍了K8S-ConfigMap实现应用和配置分离详解，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪
2023-04-04
2022最新青龙面板对接机器人的详细过程(傻妞对接onebot(oicq)协议实现机器人功能)
这篇文章主要介绍了2022最新青龙面板对接机器人的详细过程(傻妞对接onebot(oicq)协议实现机器人功能),本文给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2022-05-05
Rancher部署配置开源Rainbond云原生应用管理平台
这篇文章主要为大家介绍了Rancher部署配置开源Rainbond云原生应用管理平台，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪
2022-04-04
关于Rancher部署并导入K8S集群的问题
这篇文章主要介绍了关于Rancher部署并导入K8S集群的问题,本文给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2021-12-12