Amazon EKS AMI 1.29版本中Sandbox容器镜像被垃圾回收的问题分析

问题背景

在Amazon EKS 1.29版本中，用户报告了一个严重问题：节点上的pause容器镜像（sandbox镜像）会被垃圾回收机制(GC)意外删除，导致Pod无法创建。这个问题通常发生在节点升级到1.29版本约一天后，表现为节点磁盘空间不足时，kubelet的垃圾回收机制错误地删除了关键的pause容器镜像。

问题现象

当问题发生时，用户会在事件日志中看到类似如下的错误信息：

Failed to create pod sandbox: rpc error: code = Unknown desc = failed to get sandbox image "602401143452.dkr.ecr.eu-west-2.amazonaws.com/eks/pause:3.5": failed to pull image "602401143452.dkr.ecr.eu-west-2.amazonaws.com/eks/pause:3.5": failed to pull and unpack image "602401143452.dkr.ecr.eu-west-2.amazonaws.com/eks/pause:3.5": failed to resolve reference "602401143452.dkr.ecr.eu-west-2.amazonaws.com/eks/pause:3.5": unexpected status from HEAD request to https://602401143452.dkr.ecr.eu-west-2.amazonaws.com/v2/eks/pause/manifests/3.5: 401 Unauthorized

根本原因分析

经过技术团队深入调查，发现问题的根本原因在于：

1. 容器镜像固定机制失效：在containerd 1.7.3及以上版本中，引入了"pinned"标签机制，可以防止关键镜像被垃圾回收。但Amazon Linux当前使用的containerd版本(低于1.7.3)缺乏这一功能。

2. 认证问题：pause容器镜像存储在私有ECR仓库中，需要特殊权限才能拉取。当镜像被删除后，kubelet无法自动重新拉取。

3. 垃圾回收策略变化：Kubernetes 1.29中kubelet的垃圾回收行为有所改变，更积极地清理未使用的镜像，但未能正确处理sandbox镜像的特殊性。

临时解决方案

在官方修复发布前，用户可以采用以下临时解决方案：

1. 使用1.28版本的AMI：虽然集群API版本是1.29，但节点可以使用1.28的AMI镜像，这是完全兼容的。

2. 定期手动拉取pause镜像：通过crontab设置定时任务，定期使用crictl工具拉取pause镜像。

3. 更换sandbox镜像源：将sandbox镜像切换为不需要ECR认证的公共镜像源，如：

   • registry.k8s.io/pause:3.9
   • public.ecr.aws/eks-distro/kubernetes/pause:v1.29.0-eks-1-29-latest

4. 增加节点磁盘空间：虽然不能根本解决问题，但可以延长问题出现的时间。

长期解决方案

Amazon EKS团队已经确认将在以下方面进行修复：

1. 升级containerd到1.7.11或更高版本，该版本支持镜像固定功能。

2. 在AMI中内置机制，确保pause镜像不会被垃圾回收。

3. 改进sandbox镜像的拉取和认证流程。

最佳实践建议

对于运行关键业务的生产环境，建议：

1. 在升级到Kubernetes 1.29前，充分测试并验证节点稳定性。

2. 监控节点磁盘使用情况，设置适当的告警阈值。

3. 考虑实现自定义的镜像垃圾回收策略，避免关键系统镜像被意外删除。

4. 保持与官方发布的同步，及时应用修复更新。

这个问题凸显了容器编排系统中底层基础设施组件的重要性，即使是像pause这样看似简单的系统组件，其稳定性也会直接影响整个集群的可用性。