概述

有时候我们操作不规范,或者删除的先后顺序有问题,或者某项关键服务没有启动,导致 Kubernetes 经常会出现无法删除 NameSpace 的情况。这种情况下我们应该怎么办?

规范删除流程

其实,很多时候出现这种情况,主要是因为我们的删除操作不规范,典型的有下面几种情况:

  • 删除的先后顺序有问题,如:

    • 先删除了 Traefik 的关键组件,再尝试删除包含 Traefik Ingress 或 EdgeIngress 的 CRD
  • 某项关键服务没有启动,如:
    • 对于安装了 Prometheus Operator + custom adapter 的 Kubernetes 集群,在 Prometheus 的一些关键组件 scale down 的情况下,删除包含这些监控 CRD 或 HPA custom metric 的 NameSpace

...

综上,根源上,大部分情况下 NameSpace 无法删除,都是我们操作有错在先。

为了避免此类错误再犯,推荐搭建删除按照如下流程:

  1. 保证所有基础服务组件都是正常运行的状态(如前面提到的,ingress 组件,监控组件,servicemesh 组件。..)
  2. 检查要删除的 NameSpace 下的所有资源,特别是 CRD, 这里推荐使用 Krew - Kubernetes 的 CLI 插件管理器 安装 get-all真正地获取该 NameSpace 下的所有资源,如后面的代码块所示:
  3. 针对其中的一些 CRD 或特殊资源,最好先明确指定删除并确保可以成功删除掉
  4. 最后,再删除该 NameSpace

第 2 步的代码块:(有如此多的 CRD)

❯ kubectl get-all -n cert-manager

NAME                                                                              NAMESPACE     AGE

configmap/cert-manager-webhook                                                    cert-manager  277d

configmap/kube-root-ca.crt                                                        cert-manager  277d

endpoints/cert-manager                                                            cert-manager  277d

endpoints/cert-manager-webhook                                                    cert-manager  277d

endpoints/cert-manager-webhook-dnspod                                             cert-manager  277d

pod/cert-manager-6d6bb4f487-hkwpn                                                 cert-manager  85d

pod/cert-manager-6d6bb4f487-wgtd8                                                 cert-manager  85d

pod/cert-manager-cainjector-7d55bf8f78-5797c                                      cert-manager  277d

pod/cert-manager-webhook-577f77586f-txlcx                                         cert-manager  85d

pod/cert-manager-webhook-577f77586f-xh4st                                         cert-manager  85d

pod/cert-manager-webhook-dnspod-5d5566c7bc-5cj4s                                  cert-manager  211d

secret/cert-manager-cainjector-token-h8cqq                                        cert-manager  277d

secret/cert-manager-token-28knj                                                   cert-manager  277d

secret/cert-manager-webhook-ca                                                    cert-manager  277d

secret/cert-manager-webhook-dnspod-ca                                             cert-manager  277d

secret/cert-manager-webhook-dnspod-letsencrypt                                    cert-manager  277d

secret/cert-manager-webhook-dnspod-secret                                         cert-manager  277d

secret/cert-manager-webhook-dnspod-token-jsjrn                                    cert-manager  277d

secret/cert-manager-webhook-dnspod-webhook-tls                                    cert-manager  277d

secret/cert-manager-webhook-token-qxq44                                           cert-manager  277d

secret/default-token-mkpmt                                                        cert-manager  277d

secret/ewhisper-crt-secret                                                        cert-manager  277d

secret/sh.helm.release.v1.cert-manager-webhook-dnspod.v1                          cert-manager  277d

secret/sh.helm.release.v1.cert-manager.v1                                         cert-manager  277d

serviceaccount/cert-manager                                                       cert-manager  277d

serviceaccount/cert-manager-cainjector                                            cert-manager  277d

serviceaccount/cert-manager-webhook                                               cert-manager  277d

serviceaccount/cert-manager-webhook-dnspod                                        cert-manager  277d

serviceaccount/default                                                            cert-manager  277d

service/cert-manager                                                              cert-manager  277d

service/cert-manager-webhook                                                      cert-manager  277d

service/cert-manager-webhook-dnspod                                               cert-manager  277d

order.acme.cert-manager.io/ewhisper-crt-6v6s4-2449993249                          cert-manager  209d

order.acme.cert-manager.io/ewhisper-crt-89n7g-2449993249                          cert-manager  23d

order.acme.cert-manager.io/ewhisper-crt-8g496-2449993249                          cert-manager  277d

order.acme.cert-manager.io/ewhisper-crt-jj24l-2449993249                          cert-manager  83d

order.acme.cert-manager.io/ewhisper-crt-q8pvw-2449993249                          cert-manager  149d

deployment.apps/cert-manager                                                      cert-manager  277d

deployment.apps/cert-manager-cainjector                                           cert-manager  277d

deployment.apps/cert-manager-webhook                                              cert-manager  277d

deployment.apps/cert-manager-webhook-dnspod                                       cert-manager  277d

replicaset.apps/cert-manager-6d6bb4f487                                           cert-manager  277d

replicaset.apps/cert-manager-cainjector-7d55bf8f78                                cert-manager  277d

replicaset.apps/cert-manager-webhook-577f77586f                                   cert-manager  277d

replicaset.apps/cert-manager-webhook-dnspod-5d5566c7bc                            cert-manager  211d

replicaset.apps/cert-manager-webhook-dnspod-5d78f9bfcb                            cert-manager  217d

replicaset.apps/cert-manager-webhook-dnspod-7c5cd575fc                            cert-manager  277d

app.catalog.cattle.io/cert-manager                                                cert-manager  270d

app.catalog.cattle.io/cert-manager-webhook-dnspod                                 cert-manager  270d

certificaterequest.cert-manager.io/cert-manager-webhook-dnspod-ca-l57hl           cert-manager  277d

certificaterequest.cert-manager.io/cert-manager-webhook-dnspod-webhook-tls-7zwdh  cert-manager  277d

certificaterequest.cert-manager.io/cert-manager-webhook-dnspod-webhook-tls-gs57f  cert-manager  34d

certificaterequest.cert-manager.io/ewhisper-crt-6v6s4                             cert-manager  209d

certificaterequest.cert-manager.io/ewhisper-crt-89n7g                             cert-manager  23d

certificaterequest.cert-manager.io/ewhisper-crt-8g496                             cert-manager  277d

certificaterequest.cert-manager.io/ewhisper-crt-jj24l                             cert-manager  83d

certificaterequest.cert-manager.io/ewhisper-crt-q8pvw                             cert-manager  149d

certificate.cert-manager.io/cert-manager-webhook-dnspod-ca                        cert-manager  277d

certificate.cert-manager.io/cert-manager-webhook-dnspod-webhook-tls               cert-manager  277d

certificate.cert-manager.io/ewhisper-crt                                          cert-manager  277d

issuer.cert-manager.io/cert-manager-webhook-dnspod-ca                             cert-manager  277d

issuer.cert-manager.io/cert-manager-webhook-dnspod-selfsign                       cert-manager  277d

endpointslice.discovery.k8s.io/cert-manager-9lm6j                                 cert-manager  277d

endpointslice.discovery.k8s.io/cert-manager-webhook-dnspod-q7f8n                  cert-manager  277d

endpointslice.discovery.k8s.io/cert-manager-webhook-z6qdd                         cert-manager  277d

rolebinding.rbac.authorization.k8s.io/cert-manager-webhook:dynamic-serving        cert-manager  277d

role.rbac.authorization.k8s.io/cert-manager-webhook:dynamic-serving               cert-manager  277d

ingressroute.traefik.containo.us/alertmanager                                     cert-manager  244d

ingressroute.traefik.containo.us/grafana                                          cert-manager  255d

ingressroute.traefik.containo.us/grafana-rancher                                  cert-manager  238d

ingressroute.traefik.containo.us/prometheus                                       cert-manager  244d

ingressroute.traefik.containo.us/rsshub                                           cert-manager  268d

ingressroute.traefik.containo.us/ttrss                                            cert-manager  257d

tlsstore.traefik.containo.us/default                                              cert-manager  268d

试试强制删除

如果 NameSpace 已经处于 terminating 的状态,且久久无法删除,可以试试加上这 2 个参数强制删除:

  • --force
  • --grace-period=0
kubectl delete ns ${NAMESPACE} --force --grace-period=0

强制删除失败?再来试试这种办法

强制删除失败?再来试试这种办法:调用 Kubernetes API 删除

Hard Way 步骤

首先,获取要删除 NameSpace 的 JSON 文件:

NAMESPACE=cert-manager

kubectl get ns ${NAMESPACE} -o json > namespace.json

然后,编辑 namespace.json, 从 finalizers 字段中删除 kubernetes 的值并保存,示例如下:

{

    "apiVersion": "v1",

    "kind": "Namespace",

    "metadata": {

        ...: ...

    },

    "spec": {

        "finalizers": []

    },

    "status": {

        "phase": "Terminating"

    }

}

之后,可以通过 kubectl proxy 设置 APIServer 的临时 IP 和端口

kubectl proxy --port=6880 &

最后,进行 API 调用来强制删除:

curl -k -H "Content-Type: application/json" -X  PUT --data-binary @namespace.json http://127.0.0.1:6880/api/v1/namespaces/${NAMESPACE}/finalize

验证是否已经成功删除:

kubectl get ns ${NAMESPACE}

编排成脚本

Notes:

依赖组件:

  • kubectl
  • jq
  • curl

force-delete-ns.sh

#!/bin/bash

set -ex

PATH=$PATH:.

NAMESPACE=$1    # 读取命令行第一个参数

kill -9  $(ps -ef|grep proxy|grep -v grep |awk '{print $2}')

kubectl proxy --port=6880 &

kubectl get namespace ${NAMESPACE} -o json |jq '.spec = {"finalizers":[]}' > namespace.json

curl -k -H  "Content-Type: application/json"  -X  PUT --data-binary @namespace.json 127.0.0.1:6880/api/v1/namespaces/${NAMESPACE}/finalize

使用方式示例:

bash force-delete-ns.sh cert-manager

总结

经常会碰到 Kubernetes 的 NameSpace 无法删除的情况,这时候应该如何解决?这里提供了 3 种方案:

  1. 尽量不要出现上面这种情况 (额。.. 废话)
  2. 加上 --force flag 强制删除
  3. 调用 namespace 的 finalize API 强制删除

但是,真到了需要强制删除的阶段,2/3 部是无法保证 100% 成功的。

所以第一步才是正道 ...(呆,但是有用)

EOF

本文由博客一文多发平台 OpenWrite 发布!

Kubernetes 的 NameSpace 无法删除应该怎么办?的更多相关文章

  1. 记一次删除k8s namespace无法删除的问题

    在用longhorn工具做k8s存储卷动态预配的时候,需要修改longhorn.yaml的一个默认参数,修改完成需要重新加载longhorn.yaml,结果重新加载出错了,修改的参数没有生效,于是执行 ...

  2. kubernetes进阶(01)kubernetes的namespace

    一.Namespace概念 Namespace是对一组资源和对象的抽象集合,比如可以用来将系统内部的对象划分为不同的项目组或用户组. 常见的pods, services, replication co ...

  3. 用kubernetes部署oa 强制删除pod delete

    1.[root@pserver88 oa]# cat Dockerfile FROM tomcat RUN rm -rf /usr/local/tomcat/webapps/*ADD ROOT.war ...

  4. 处理kubernetes 一些比较难删除的资源

    kubernetes 提供了force 的命令在我们删除资源的时候,但是很多时候还是不可以的 一般删除资源的处理 命令 kubectl delete <resource> <reso ...

  5. kubernetes secret 和 serviceaccount删除

    背景 今天通过配置创建了一个serviceaccounts和secret,后面由于某种原因想再次创建发现已存在一个serviceaccounts和rolebindings.rbac.authoriza ...

  6. kubernetes进阶(03)kubernetes的namespace

    服务发现与负载均衡Kubernetes在设计之初就充分考虑了针对容器的服务发现与负载均衡机制,提供了Service资源,并通过kube-proxy配合cloud provider来适应不同的应用场景. ...

  7. kubernetes容器删除时快速释放ip的方案

    问题的来由 在kubernetes集群的生产中,经常遇到这样的一个问题,就是在应用大规模更新时,大量容器删除而后大量容器创建,创建的容器需要很长时间才能就绪.这其中一个可能的原因,就是大量容器删除释放 ...

  8. 我们为什么会删除不了集群的 Namespace?

    作者 | 声东  阿里云售后技术专家 导读:阿里云售后技术团队的同学,每天都在处理各式各样千奇百怪的线上问题.常见的有网络连接失败.服务器宕机.性能不达标及请求响应慢等.但如果要评选的话,什么问题看起 ...

  9. Openstack+Kubernetes+Docker微服务实践之路--RPC

    重点来了,本文全面阐述一下我们的RPC是怎么实现并如何使用的,跟Kubernetes和Openstack怎么结合.  在选型一文中说到我们选定的RPC框架是Apache Thrift,它的用法是在Ma ...

  10. kubernetes容器编排系统介绍

    版权声明:本文由turboxu原创文章,转载请注明出处: 文章原文链接:https://www.qcloud.com/community/article/152 来源:腾云阁 https://www. ...

随机推荐

  1. Hibernate-Validator扩展之自定义注解

    一.Hibernate-Validator介绍 ​ Hibernate-Validator框架提供了一系列的注解去校验字段是否符合预期,如@NotNull注解可以校验字段是否为null,如果为null ...

  2. hbase报错ERROR: org.apache.hadoop.hbase.ipc.ServerNotRunningYetException: Server is not running yet 采坑记

    1.错误异常信息: Exception in thread "main" java.lang.IllegalArgumentException: Failed to find me ...

  3. linux基本知识汇总2(系统编程) 60000字汇总

    /////////////进程/任务 -- task任何启动并运行程序的行为,都是由操作系统帮助我们将程序转换成进程 -- 进程:完成特定的任务 进程控制块:PCB(win) / task_struc ...

  4. Jmeter 如何连接mysql数据库?

    1 首先安装jmeter jdbc 插件 JDBC驱动包下载教程:https://blog.csdn.net/qq_50896685/article/details/129154801 2 安装好后将 ...

  5. Java 多线程------例子(1) --创建 三个窗口 买票 总票数为 100张 使用继承Thread类的方式

    1 package com.bytezero.threadexer; 2 3 4 5 /** 6 * 7 * 创建 三个窗口 买票 总票数为 100张 使用继承Thread类的方式 8 * @auth ...

  6. Hello 2024C. Grouping Increases(贪心)

    我们只需要记录每个数结尾的数是多少(有点最长上升子序列的味道) 这种子序列的题目很多都是这样的,因为不需要连续很多时候我们只记录最后一个元素是多少. \(记s为较大子序列结尾当前的数,t为较小子序列结 ...

  7. .Net下的CORS跨域设置

    CORS跨域访问问题往往出现在"浏览器客户端"通过ajax调用"服务端API"的时候.而且若是深究原理,还会发现跨域问题其实还分为[简单跨域]与[复杂跨域]这两 ...

  8. 学习ASP.NET Core Blazor编程系列文章之目录

    学习ASP.NET Core Blazor编程系列一--综述 学习ASP.NET Core Blazor编程系列二--第一个Blazor应用程序(上) 学习ASP.NET Core Blazor编程系 ...

  9. 基于泰凌微TLSR8355的无线灯光智能控制系统解决方案调试总结

    前记  随着新技术的不断发展,在灯控市场.使用无线和传感器技术让灯的利用变得更加环保和智能是一个相对时尚的选择.最近跟几个客户做了一些此类的产品.发掘了一些有趣的功能和应用.这里做一个梳理. 特色梳理 ...

  10. .net core 多线程下使用 Random 会出现bug

    .net core 多线程下使用 Random 会出现的bug 先看原文: Working with System.Random and threads safely in .NET Core and ...