概述

有时候我们操作不规范,或者删除的先后顺序有问题,或者某项关键服务没有启动,导致 Kubernetes 经常会出现无法删除 NameSpace 的情况。这种情况下我们应该怎么办?

规范删除流程

其实,很多时候出现这种情况,主要是因为我们的删除操作不规范,典型的有下面几种情况:

  • 删除的先后顺序有问题,如:

    • 先删除了 Traefik 的关键组件,再尝试删除包含 Traefik Ingress 或 EdgeIngress 的 CRD
  • 某项关键服务没有启动,如:
    • 对于安装了 Prometheus Operator + custom adapter 的 Kubernetes 集群,在 Prometheus 的一些关键组件 scale down 的情况下,删除包含这些监控 CRD 或 HPA custom metric 的 NameSpace

...

综上,根源上,大部分情况下 NameSpace 无法删除,都是我们操作有错在先。

为了避免此类错误再犯,推荐搭建删除按照如下流程:

  1. 保证所有基础服务组件都是正常运行的状态(如前面提到的,ingress 组件,监控组件,servicemesh 组件。..)
  2. 检查要删除的 NameSpace 下的所有资源,特别是 CRD, 这里推荐使用 Krew - Kubernetes 的 CLI 插件管理器 安装 get-all真正地获取该 NameSpace 下的所有资源,如后面的代码块所示:
  3. 针对其中的一些 CRD 或特殊资源,最好先明确指定删除并确保可以成功删除掉
  4. 最后,再删除该 NameSpace

第 2 步的代码块:(有如此多的 CRD)

❯ kubectl get-all -n cert-manager

NAME                                                                              NAMESPACE     AGE

configmap/cert-manager-webhook                                                    cert-manager  277d

configmap/kube-root-ca.crt                                                        cert-manager  277d

endpoints/cert-manager                                                            cert-manager  277d

endpoints/cert-manager-webhook                                                    cert-manager  277d

endpoints/cert-manager-webhook-dnspod                                             cert-manager  277d

pod/cert-manager-6d6bb4f487-hkwpn                                                 cert-manager  85d

pod/cert-manager-6d6bb4f487-wgtd8                                                 cert-manager  85d

pod/cert-manager-cainjector-7d55bf8f78-5797c                                      cert-manager  277d

pod/cert-manager-webhook-577f77586f-txlcx                                         cert-manager  85d

pod/cert-manager-webhook-577f77586f-xh4st                                         cert-manager  85d

pod/cert-manager-webhook-dnspod-5d5566c7bc-5cj4s                                  cert-manager  211d

secret/cert-manager-cainjector-token-h8cqq                                        cert-manager  277d

secret/cert-manager-token-28knj                                                   cert-manager  277d

secret/cert-manager-webhook-ca                                                    cert-manager  277d

secret/cert-manager-webhook-dnspod-ca                                             cert-manager  277d

secret/cert-manager-webhook-dnspod-letsencrypt                                    cert-manager  277d

secret/cert-manager-webhook-dnspod-secret                                         cert-manager  277d

secret/cert-manager-webhook-dnspod-token-jsjrn                                    cert-manager  277d

secret/cert-manager-webhook-dnspod-webhook-tls                                    cert-manager  277d

secret/cert-manager-webhook-token-qxq44                                           cert-manager  277d

secret/default-token-mkpmt                                                        cert-manager  277d

secret/ewhisper-crt-secret                                                        cert-manager  277d

secret/sh.helm.release.v1.cert-manager-webhook-dnspod.v1                          cert-manager  277d

secret/sh.helm.release.v1.cert-manager.v1                                         cert-manager  277d

serviceaccount/cert-manager                                                       cert-manager  277d

serviceaccount/cert-manager-cainjector                                            cert-manager  277d

serviceaccount/cert-manager-webhook                                               cert-manager  277d

serviceaccount/cert-manager-webhook-dnspod                                        cert-manager  277d

serviceaccount/default                                                            cert-manager  277d

service/cert-manager                                                              cert-manager  277d

service/cert-manager-webhook                                                      cert-manager  277d

service/cert-manager-webhook-dnspod                                               cert-manager  277d

order.acme.cert-manager.io/ewhisper-crt-6v6s4-2449993249                          cert-manager  209d

order.acme.cert-manager.io/ewhisper-crt-89n7g-2449993249                          cert-manager  23d

order.acme.cert-manager.io/ewhisper-crt-8g496-2449993249                          cert-manager  277d

order.acme.cert-manager.io/ewhisper-crt-jj24l-2449993249                          cert-manager  83d

order.acme.cert-manager.io/ewhisper-crt-q8pvw-2449993249                          cert-manager  149d

deployment.apps/cert-manager                                                      cert-manager  277d

deployment.apps/cert-manager-cainjector                                           cert-manager  277d

deployment.apps/cert-manager-webhook                                              cert-manager  277d

deployment.apps/cert-manager-webhook-dnspod                                       cert-manager  277d

replicaset.apps/cert-manager-6d6bb4f487                                           cert-manager  277d

replicaset.apps/cert-manager-cainjector-7d55bf8f78                                cert-manager  277d

replicaset.apps/cert-manager-webhook-577f77586f                                   cert-manager  277d

replicaset.apps/cert-manager-webhook-dnspod-5d5566c7bc                            cert-manager  211d

replicaset.apps/cert-manager-webhook-dnspod-5d78f9bfcb                            cert-manager  217d

replicaset.apps/cert-manager-webhook-dnspod-7c5cd575fc                            cert-manager  277d

app.catalog.cattle.io/cert-manager                                                cert-manager  270d

app.catalog.cattle.io/cert-manager-webhook-dnspod                                 cert-manager  270d

certificaterequest.cert-manager.io/cert-manager-webhook-dnspod-ca-l57hl           cert-manager  277d

certificaterequest.cert-manager.io/cert-manager-webhook-dnspod-webhook-tls-7zwdh  cert-manager  277d

certificaterequest.cert-manager.io/cert-manager-webhook-dnspod-webhook-tls-gs57f  cert-manager  34d

certificaterequest.cert-manager.io/ewhisper-crt-6v6s4                             cert-manager  209d

certificaterequest.cert-manager.io/ewhisper-crt-89n7g                             cert-manager  23d

certificaterequest.cert-manager.io/ewhisper-crt-8g496                             cert-manager  277d

certificaterequest.cert-manager.io/ewhisper-crt-jj24l                             cert-manager  83d

certificaterequest.cert-manager.io/ewhisper-crt-q8pvw                             cert-manager  149d

certificate.cert-manager.io/cert-manager-webhook-dnspod-ca                        cert-manager  277d

certificate.cert-manager.io/cert-manager-webhook-dnspod-webhook-tls               cert-manager  277d

certificate.cert-manager.io/ewhisper-crt                                          cert-manager  277d

issuer.cert-manager.io/cert-manager-webhook-dnspod-ca                             cert-manager  277d

issuer.cert-manager.io/cert-manager-webhook-dnspod-selfsign                       cert-manager  277d

endpointslice.discovery.k8s.io/cert-manager-9lm6j                                 cert-manager  277d

endpointslice.discovery.k8s.io/cert-manager-webhook-dnspod-q7f8n                  cert-manager  277d

endpointslice.discovery.k8s.io/cert-manager-webhook-z6qdd                         cert-manager  277d

rolebinding.rbac.authorization.k8s.io/cert-manager-webhook:dynamic-serving        cert-manager  277d

role.rbac.authorization.k8s.io/cert-manager-webhook:dynamic-serving               cert-manager  277d

ingressroute.traefik.containo.us/alertmanager                                     cert-manager  244d

ingressroute.traefik.containo.us/grafana                                          cert-manager  255d

ingressroute.traefik.containo.us/grafana-rancher                                  cert-manager  238d

ingressroute.traefik.containo.us/prometheus                                       cert-manager  244d

ingressroute.traefik.containo.us/rsshub                                           cert-manager  268d

ingressroute.traefik.containo.us/ttrss                                            cert-manager  257d

tlsstore.traefik.containo.us/default                                              cert-manager  268d

试试强制删除

如果 NameSpace 已经处于 terminating 的状态,且久久无法删除,可以试试加上这 2 个参数强制删除:

  • --force
  • --grace-period=0
kubectl delete ns ${NAMESPACE} --force --grace-period=0

强制删除失败?再来试试这种办法

强制删除失败?再来试试这种办法:调用 Kubernetes API 删除

Hard Way 步骤

首先,获取要删除 NameSpace 的 JSON 文件:

NAMESPACE=cert-manager

kubectl get ns ${NAMESPACE} -o json > namespace.json

然后,编辑 namespace.json, 从 finalizers 字段中删除 kubernetes 的值并保存,示例如下:

{

    "apiVersion": "v1",

    "kind": "Namespace",

    "metadata": {

        ...: ...

    },

    "spec": {

        "finalizers": []

    },

    "status": {

        "phase": "Terminating"

    }

}

之后,可以通过 kubectl proxy 设置 APIServer 的临时 IP 和端口

kubectl proxy --port=6880 &

最后,进行 API 调用来强制删除:

curl -k -H "Content-Type: application/json" -X  PUT --data-binary @namespace.json http://127.0.0.1:6880/api/v1/namespaces/${NAMESPACE}/finalize

验证是否已经成功删除:

kubectl get ns ${NAMESPACE}

编排成脚本

Notes:

依赖组件:

  • kubectl
  • jq
  • curl

force-delete-ns.sh

#!/bin/bash

set -ex

PATH=$PATH:.

NAMESPACE=$1    # 读取命令行第一个参数

kill -9  $(ps -ef|grep proxy|grep -v grep |awk '{print $2}')

kubectl proxy --port=6880 &

kubectl get namespace ${NAMESPACE} -o json |jq '.spec = {"finalizers":[]}' > namespace.json

curl -k -H  "Content-Type: application/json"  -X  PUT --data-binary @namespace.json 127.0.0.1:6880/api/v1/namespaces/${NAMESPACE}/finalize

使用方式示例:

bash force-delete-ns.sh cert-manager

总结

经常会碰到 Kubernetes 的 NameSpace 无法删除的情况,这时候应该如何解决?这里提供了 3 种方案:

  1. 尽量不要出现上面这种情况 (额。.. 废话)
  2. 加上 --force flag 强制删除
  3. 调用 namespace 的 finalize API 强制删除

但是,真到了需要强制删除的阶段,2/3 部是无法保证 100% 成功的。

所以第一步才是正道 ...(呆,但是有用)

EOF

本文由博客一文多发平台 OpenWrite 发布!

Kubernetes 的 NameSpace 无法删除应该怎么办?的更多相关文章

  1. 记一次删除k8s namespace无法删除的问题

    在用longhorn工具做k8s存储卷动态预配的时候,需要修改longhorn.yaml的一个默认参数,修改完成需要重新加载longhorn.yaml,结果重新加载出错了,修改的参数没有生效,于是执行 ...

  2. kubernetes进阶(01)kubernetes的namespace

    一.Namespace概念 Namespace是对一组资源和对象的抽象集合,比如可以用来将系统内部的对象划分为不同的项目组或用户组. 常见的pods, services, replication co ...

  3. 用kubernetes部署oa 强制删除pod delete

    1.[root@pserver88 oa]# cat Dockerfile FROM tomcat RUN rm -rf /usr/local/tomcat/webapps/*ADD ROOT.war ...

  4. 处理kubernetes 一些比较难删除的资源

    kubernetes 提供了force 的命令在我们删除资源的时候,但是很多时候还是不可以的 一般删除资源的处理 命令 kubectl delete <resource> <reso ...

  5. kubernetes secret 和 serviceaccount删除

    背景 今天通过配置创建了一个serviceaccounts和secret,后面由于某种原因想再次创建发现已存在一个serviceaccounts和rolebindings.rbac.authoriza ...

  6. kubernetes进阶(03)kubernetes的namespace

    服务发现与负载均衡Kubernetes在设计之初就充分考虑了针对容器的服务发现与负载均衡机制,提供了Service资源,并通过kube-proxy配合cloud provider来适应不同的应用场景. ...

  7. kubernetes容器删除时快速释放ip的方案

    问题的来由 在kubernetes集群的生产中,经常遇到这样的一个问题,就是在应用大规模更新时,大量容器删除而后大量容器创建,创建的容器需要很长时间才能就绪.这其中一个可能的原因,就是大量容器删除释放 ...

  8. 我们为什么会删除不了集群的 Namespace?

    作者 | 声东  阿里云售后技术专家 导读:阿里云售后技术团队的同学,每天都在处理各式各样千奇百怪的线上问题.常见的有网络连接失败.服务器宕机.性能不达标及请求响应慢等.但如果要评选的话,什么问题看起 ...

  9. Openstack+Kubernetes+Docker微服务实践之路--RPC

    重点来了,本文全面阐述一下我们的RPC是怎么实现并如何使用的,跟Kubernetes和Openstack怎么结合.  在选型一文中说到我们选定的RPC框架是Apache Thrift,它的用法是在Ma ...

  10. kubernetes容器编排系统介绍

    版权声明:本文由turboxu原创文章,转载请注明出处: 文章原文链接:https://www.qcloud.com/community/article/152 来源:腾云阁 https://www. ...

随机推荐

  1. Java 常用类 String的使用---测试

    1 package com.bytezero.stringclass; 2 3 import org.junit.Test; 4 5 /** 6 * 7 * 8 * 9 * @author Bytez ...

  2. SQLmap 爆破

    1.Sqlmap  -u "http://114.67.246.176:11055/index.php?" --data="id=1"   (这里  --dat ...

  3. WPF --- 触摸屏下的两个问题

    引言 本片文章分享一下之前遇到的WPF应用在触摸屏下使用时的两个问题. 场景 具体场景就是一个配置界面, ScrollViewer 中包含一个StackPanel 然后纵向堆叠,已滚动的方式查看,然后 ...

  4. better-scroll 1.13

    简单入门示例:快速使用: <template> <div class="wrapper"> <div class="content" ...

  5. 【5分钟】W10 64bit系统本地安装postgresql 11

    1.下载 官网下载地址 2.安装 一路默认,有一个选语言的可以选中chinese simple(中文简体). 3.初始化 1)进入bin:   cd C:\Program Files\PostgreS ...

  6. 关于debian安装完后输入法的问题

    sudo apt install ibus-libpinyin后 重启计算机

  7. python可视化工具pyecharts初相识

    一 概念 1.pyecahrts基础 某度开源了一个python的可视化工具pyecharts,该工具凭借着良好的交互性,精巧的图表设计,得到了众多开发者的认可.而 python 是一门富有表达力的语 ...

  8. awk第一天

    awk第一天 1.用awk 打印整个test.txt (以下操作都是用awk工具实现,针对test.txt) awk '{print}' test.txt [root@master ~]# awk ' ...

  9. 记录--前端加载超大图片(100M以上)实现秒开解决方案

    这里给大家分享我在网上总结出来的一些知识,希望对大家有所帮助 前言 前端加载超大图片时,一般可以采取以下措施实现加速: 图片压缩:将图片进行压缩可以大幅减小图片的大小,从而缩短加载时间.压缩图片时需要 ...

  10. 01-【HAL库】STM32实现串口打印

    一.什么是串口 串口通讯(Serial Communication)是一种设备间非常常用的串行通讯方式,因为它简单便捷,因此大部分电子设备都支持该通讯方式,电子工程师在调试设备时也经常使用该通讯方式输 ...