#CSI 工作负载配置故障排除

本指南提供了诊断和解决在工作负载中挂载 OCI 注册表配置时，Connectors CSI Driver 常见问题的详细步骤。

#常见问题概览

#检查 CSI 卷配置

验证工作负载 YAML 中的 CSI 卷配置：

volumes:
- name: docker-config
  csi:
    readOnly: true
    driver: connectors-csi
    volumeAttributes:
      connector.name: "<connector-name>"
      configuration.names: "docker-config"

常见配置选项：

常见配置问题：

如何验证：

# 检查 Connector 是否存在
kubectl get connector <connector-name> -n <namespace>

# 验证 Connector 是否 Ready
kubectl get connector <connector-name> -n <namespace> -o jsonpath='{.status.conditions[?(@.type=="Ready")].status}'

# 检查 CSI 驱动是否可用
kubectl get pods -n connectors-system -l app.kubernetes.io/name=connectors-csi

#验证卷挂载

检查卷挂载配置是否正确：

volumeMounts:
- name: docker-config
  mountPath: "/root/.docker"  # 针对 docker-config

不同配置的常用挂载路径：

#查看 Pod 事件

检查 Pod 事件中与挂载相关的问题：

kubectl describe pod <pod-name> -n <namespace>

常见错误信息及解决方案：

示例错误及解决方案：

  Warning  FailedMount  3m (x5 over 5m)  kubelet  MountVolume.SetUp failed for volume "docker-config" : 
  rpc error: code = NotFound desc = connector "oci-registry" not found

解决方案：创建 Connector 或修正卷属性中的 Connector 名称。

#查找生成的 OCI 配置文件

定位配置文件：

# 针对 docker-config
kubectl exec <pod-name> -n <namespace> -- cat /root/.docker/config.json

# 针对 dockerd
kubectl exec <pod-name> -n <namespace> -- cat /etc/docker/daemon.json

# 针对 buildkitd
kubectl exec <pod-name> -n <namespace> -- cat /etc/buildkit/buildkitd.toml

如果未找到配置文件，请检查：

1. 卷挂载是否成功
2. CSI 驱动是否健康
3. ServiceAccount 是否有权限
4. Connector 是否 Ready
5. 挂载路径是否与容器用户预期路径匹配

#检查 Docker 配置内容

#docker-config

检查生成的 config.json 文件：

kubectl exec <pod-name> -n <namespace> -- cat /root/.docker/config.json

预期配置内容：

{
  "auths": {
    "c-<connector-name>.<namespace>.svc.cluster.local": {
      "auth": "<base64-encoded-token>"
    }
  }
}

#dockerd 配置

检查生成的 daemon.json 文件：

kubectl exec <pod-name> -n <namespace> -- cat /etc/docker/daemon.json

预期配置内容：

{
  "insecure-registries": [
    "c-<connector-name>.<namespace>.svc.cluster.local"
  ]
}

#buildkitd 配置

检查生成的 buildkitd.toml 文件：

kubectl exec <pod-name> -n <namespace> -- cat /etc/buildkit/buildkitd.toml

预期配置内容：

insecure-entitlements = [ "network.host", "security.insecure" ]
[registry."c-<connector-name>.<namespace>.svc.cluster.local"]
  http = true

#非安全注册表问题

症状：

• 出现 server certificate verification failed 错误
• TLS 握手失败

排查步骤：

1. 验证非安全注册表设置是否正确配置：

   kubectl exec <pod-name> -n <namespace> -- cat /etc/docker/daemon.json

2. 检查容器运行时是否使用了挂载的配置：

   kubectl exec <pod-name> -n <namespace> -- docker info | grep -A 5 "Insecure Registries"

3. 对于 containerd，验证代理地址配置是否正确：

   kubectl exec -it <node-name> -n <namespace> -- cat /etc/containerd/config.toml | grep -A 10 registry

#高级故障排除

#CSI 驱动日志

查看 CSI 驱动日志以获取详细错误信息：

kubectl logs -n connectors-system -l app.kubernetes.io/name=connectors-csi -c csi-driver

#代理服务日志

查看代理服务日志以排查认证或访问问题：

kubectl logs -n connectors-system -l app.kubernetes.io/name=connectors-proxy

#使用诊断 Pod 进行测试

创建诊断 Pod 测试 OCI 功能：

apiVersion: v1
kind: Pod
metadata:
  name: oci-debug-pod
  namespace: <namespace>
spec:
  containers:
  - name: debug
    image: docker:20.10
    command: ["sleep", "3600"]
    volumeMounts:
    - name: docker-config
      mountPath: "/root/.docker"
  volumes:
  - name: docker-config
    csi:
      driver: connectors-csi
      readOnly: true
      volumeAttributes:
        connector.name: "<connector-name>"
        configuration.names: "docker-config"

#其他资源

• Connectors CSI Driver Concepts
• OCI Connector Quick Start
• Connector Status Troubleshooting
• Using OCI Connector in Kubernetes Workloads
• Using OCI Connector in Tekton Pipeline