常见问题
SSO 与 Kubernetes 问题
Crest 单点登录、回调地址、Ingress、Pod 状态和 Kubernetes 部署常见问题。
SSO 和 Kubernetes 问题经常涉及多个系统:浏览器、网关、身份提供方、Crest 服务、数据库和集群网络。排查时要明确请求经过了哪些节点。
SSO 点击后跳转失败
| 可能原因 | 处理 |
|---|---|
| 授权地址错误 | 对比身份提供方应用配置 |
| Client ID 错误 | 重新复制应用凭据 |
| 身份平台不可达 | 从 Crest 所在网络测试访问 |
| 回调地址未登记 | 在身份平台补充 Crest 回调地址 |
| HTTPS 配置不一致 | 统一域名、协议和端口 |
SSO 回调后提示错误
常见原因:
- 回调地址和身份提供方登记值不一致。
- Client Secret 过期或填写错误。
- Token 地址或用户信息地址错误。
- 用户唯一标识字段不稳定。
- Crest 部署在代理后,服务端未识别为 HTTPS 访问。
处理建议:
- 复制浏览器地址栏中的实际回调地址,与身份平台配置逐字对比。
- 检查 Nginx 或 Ingress 是否传递
Host和X-Forwarded-Proto。 - 用测试账号登录,查看 Crest 日志中的认证错误。
- 不建议在生产环境同时修改多个参数。每次只调整一个参数,并记录修改前后的结果。
SSO 用户登录后无权限
SSO 只负责认证,不自动代表业务权限正确。
处理顺序:
- 打开用户管理,确认用户是否已创建。
- 检查用户所属角色。
- 检查角色菜单权限。
- 检查资源权限。
- 退出重新登录。
Kubernetes Pod 启动失败
常用命令:
kubectl get pods -n crest
kubectl describe pod <pod-name> -n crest
kubectl logs <pod-name> -n crest --tail=200| 现象 | 可能原因 | 处理 |
|---|---|---|
| ImagePullBackOff | 镜像地址、凭据或网络问题 | 检查镜像仓库和 pull secret |
| CrashLoopBackOff | 应用启动异常 | 查看容器日志和配置 |
| 启动时报加密模式或密钥错误 | CREST_CRYPTO_MODE 或 CREST_SM4_KEY 配置不符合要求 | 按部署文档检查 standard / sm-suite 和 SM4 Key |
| Pending | 资源不足或 PVC 未绑定 | 检查节点资源、StorageClass |
| Running 但无法访问 | Service 或 Ingress 问题 | 检查端口、域名、路由 |
| 数据库连接失败 | Secret、网络策略或数据库白名单问题 | 检查连接参数和网络 |
Ingress 后页面资源加载失败
可能原因:
- Ingress 路径和应用访问路径不一致。
- 静态资源被代理到错误上游。
- 上传大小限制过小。
- 代理超时过短。
- HTTPS 终止后没有传递正确代理头。
处理建议:
- 使用浏览器开发者工具查看失败请求。
- 检查 Ingress 规则和 Service 端口。
- 检查网关日志。
- 使用最终域名登录,不混用 ClusterIP、NodePort 和域名。
Kubernetes 外部 MySQL 连接失败
排查顺序:
- Secret 中数据库地址、端口、库名、账号、密码是否正确。
- Pod 是否可以解析数据库域名。
- 数据库白名单是否允许集群节点访问。
- 网络策略是否阻断到数据库端口。
- MySQL 用户是否允许从集群网段登录。
- 字符集和数据库是否已创建。
集群升级建议
- 先在测试命名空间验证新镜像。
- 升级前备份数据库和 Secret。
- 使用滚动升级时关注数据库迁移兼容性。
- 保留旧版本镜像和配置。
- 升级后验证登录、数据源、数据集、仪表盘、大屏、分享和导出。