在 Kubernetes (K8s) 中,故障自动恢复 (Self-Healing) 是其最核心的价值之一。K8s 通过控制循环 (Control Loop) 机制,不断对比“期望状态”(你定义的 YAML)和“实际状态”,一旦发现偏差(如 Pod 崩溃、节点宕机),就会自动触发修复动作。
实现故障自动恢复主要依赖以下 5 个层级 的机制,从容器进程到整个集群:
一、容器/进程级恢复:重启策略 (RestartPolicy)
场景:应用进程崩溃、死锁、OOM (内存溢出)。
- 机制:Kubelet 监控容器状态。如果容器退出码非 0 或被 OOMKilled,Kubelet 会根据
restartPolicy自动重启该容器。 - 配置:
spec:restartPolicy: Always # 默认值,总是重启(适用于 Deployment/StatefulSet)# 其他选项:OnFailure (仅失败时重启,适用于 Job), Never (不重启) - 关键点:
- 重启计数:
kubectl get pod中的RESTARTS列会增加。如果频繁重启,说明应用有 Bug 或资源不足。 - CrashLoopBackOff:如果容器启动后立即崩溃,K8s 会采用指数退避策略重启(10s, 20s, 40s...),防止无限快速重启耗尽资源。
- 重启计数:
二、Pod 级恢复:健康检查 (Probes) + 控制器 (Controllers)
场景:应用假死(进程还在但无法处理请求)、死锁、依赖服务不可用。
单纯的重启策略无法检测“假死”,必须配合 探针 (Probes) 和 控制器 (Deployment/ReplicaSet)。
1. 存活探针 (Liveness Probe) -> 触发重启
- 作用:检测容器是否“活着”。如果探测失败,Kubelet 杀死容器,触发
RestartPolicy重启。 - 适用:解决死锁、线程池耗尽等进程未退出但功能丧失的问题。
- 配置示例:
livenessProbe:httpGet:path: /healthzport: 8080initialDelaySeconds: 30 # 启动后等待 30s 再开始探测periodSeconds: 10 # 每 10s 探测一次failureThreshold: 3 # 连续失败 3 次才判定为失败并重启
2. 副本控制器 (ReplicaSet/Deployment) -> 触发重新调度
- 作用:确保指定数量的 Pod 副本始终运行。
- 机制:如果 Pod 因为节点故障彻底消失,或者 Liveness 探针一直失败导致 Pod 处于
CrashLoopBackOff且无法满足就绪条件,ReplicaSet 会发现当前副本数 < 期望值,从而在其它健康节点上创建一个新的 Pod。
3. 就绪探针 (Readiness Probe) -> 流量隔离 (辅助恢复)
- 作用:虽然不直接修复故障,但它能防止故障扩大。
- 机制:探测失败时,将该 Pod 从 Service 的 Endpoint 列表中移除,停止分发流量,直到恢复。这给了应用自我修复(如重连数据库)的时间,避免用户看到 503 错误。
三、节点级恢复:节点控制器 (Node Controller)
场景:物理机宕机、网络分区、Kubelet 挂掉。
- 机制:
- 心跳检测:Kubelet 每隔几秒向 API Server 发送心跳。
- 节点标记:如果超过
node-monitor-grace-period(默认 40s) 没收到心跳,Controller Manager 将节点标记为NotReady。 - Pod 驱逐:如果超过
pod-eviction-timeout(默认 5m) 节点仍未恢复,Node Controller 会自动将该节点上的所有 Pod 标记为Terminating,并在其他健康节点上重新创建这些 Pod。
- 注意:对于有状态应用 (StatefulSet),需要配合 PVC 和 StorageClass 的
volumeBindingMode: WaitForFirstConsumer或云厂商的多可用区存储,确保新 Pod 能挂载到原有数据。
四、调度约束与高可用:分散风险
为了防止单点故障导致大规模服务中断,需要通过调度策略让应用“分散”运行。
1. 反亲和性 (Pod Anti-Affinity)
- 目的:确保同一应用的多个副本不要运行在同一个节点或同一个可用区 (Zone)。
- 配置:
affinity:podAntiAffinity:requiredDuringSchedulingIgnoredDuringExecution:- labelSelector:matchExpressions:- key: appoperator: Invalues: ["my-web-server"]topologyKey: "kubernetes.io/hostname" # 或 topology.kubernetes.io/zone - 效果:如果一个节点宕机,不会导致该应用的所有副本同时挂掉。
2. Pod 干扰预算 (Pod Disruption Budget, PDB)
- 目的:防止在自愿维护(如节点升级、扩容缩容)时,一次性驱逐过多 Pod 导致服务不可用。
- 配置:
apiVersion: policy/v1 kind: PodDisruptionBudget metadata:name: my-app-pdb spec:minAvailable: 2 # 任何时候至少保证 2 个 Pod 可用selector:matchLabels:app: my-web-server - 效果:如果集群只有 3 个 Pod,PDB 设置
minAvailable: 2,那么维护操作最多只能同时驱逐 1 个 Pod。
五、进阶自动恢复:Operator 与 智能运维
对于复杂的有状态应用(如数据库、中间件),简单的重启往往不够,需要更智能的恢复逻辑。
1. Operator 模式
- 原理:将运维专家的知识编码成 K8s 控制器。
- 能力:
- 主从切换:如果 MySQL 主节点 Pod 挂了,Operator 自动选举新主,并更新 Service 指向。
- 数据重建:如果磁盘损坏,自动从备份恢复数据到新 Pod。
- 版本升级:自动执行滚动升级和数据迁移。
- 例子:Prometheus Operator, Elasticsearch Operator, CloudNativePG。
2. 节点自动修复 (Node Auto-Repair)
- 场景:节点系统盘损坏或配置漂移,即使重启也无法恢复。
- 方案:
- 云厂商托管:GKE/AKS/EKS 通常自带节点自动修复功能,检测到节点长期
NotReady会自动删除该 VM 并创建新的。 - Karpenter / Cluster Autoscaler:配合节点问题检测器 (Node Problem Detector),自动替换故障节点。
- 云厂商托管:GKE/AKS/EKS 通常自带节点自动修复功能,检测到节点长期
六、实战:构建一个高可用的自愈部署
这是一个综合了上述机制的 Deployment 示例:
apiVersion: apps/v1
kind: Deployment
metadata:name: resilient-app
spec:replicas: 3 # 多副本strategy:type: RollingUpdaterollingUpdate:maxUnavailable: 1 # 升级时最多允许 1 个不可用selector:matchLabels:app: resilient-apptemplate:metadata:labels:app: resilient-appspec:# 1. 分散调度:不同节点affinity:podAntiAffinity:requiredDuringSchedulingIgnoredDuringExecution:- labelSelector:matchExpressions:- key: appoperator: Invalues: ["resilient-app"]topologyKey: "kubernetes.io/hostname"containers:- name: appimage: my-app:v1.0resources:requests:memory: "256Mi"cpu: "250m"limits:memory: "512Mi"cpu: "500m"# 2. 健康检查:防假死livenessProbe:httpGet:path: /health/liveport: 8080initialDelaySeconds: 30periodSeconds: 10failureThreshold: 3# 3. 流量保护:防带病上岗readinessProbe:httpGet:path: /health/readyport: 8080initialDelaySeconds: 5periodSeconds: 5failureThreshold: 3# 4. 优雅终止:防数据丢失lifecycle:preStop:exec:command: ["sleep", "10"] # 等待流量切断terminationGracePeriodSeconds: 30
同时,别忘了配置 PDB:
apiVersion: policy/v1
kind: PodDisruptionBudget
metadata:name: resilient-app-pdb
spec:minAvailable: 2selector:matchLabels:app: resilient-app
七、总结:K8s 自愈能力矩阵
| 故障类型 | 检测机制 | 恢复动作 | 关键组件 |
|---|---|---|---|
| 进程崩溃 | 容器退出码 | 重启容器 | Kubelet (restartPolicy) |
| 应用假死 | Liveness Probe 失败 | 杀死并重启容器 | Kubelet + Probe |
| Pod 异常 | 副本数不足 | 在新节点创建新 Pod | ReplicaSet / Deployment |
| 节点宕机 | 心跳丢失 (NotReady) |
驱逐 Pod 并在其他节点重建 | Node Controller |
| 流量冲击 | Readiness Probe 失败 | 从负载均衡剔除 | Service / Endpoint Controller |
| 维护干扰 | 自愿驱逐请求 | 限制并发驱逐数量 | PDB (Pod Disruption Budget) |
| 复杂状态 | 自定义指标/状态 | 执行主从切换/数据恢复 | Operator |
核心心法:K8s 的自愈不是魔法,而是基于明确的期望状态和快速的反馈循环。你需要做的是:
- 定义清楚什么算“健康”(配置好 Probes)。
- 提供足够资源(Requests/Limits 合理)。
- 分散风险(Anti-Affinity)。
- 容忍波动(PDB)。
只要做好了这四点,K8s 就能帮你挡住 90% 的常见基础设施故障。