Sealos KS8主页无法访问？

1. 常见现象与初步排查

当用户尝试访问 Sealos KS8 的 Web 控制台主页时，若页面无法加载或提示连接超时，首要怀疑对象是主节点（Master Node）的 kube-apiserver 服务状态。该服务作为 Kubernetes 集群的核心入口，负责处理所有 REST 请求。若其未运行或监听异常，将直接导致控制台无法获取集群数据。

• 检查命令：systemctl status kubelet 确认 kubelet 是否处于 active (running) 状态。
• 查看容器运行时：执行 crictl ps -a | grep apiserver 检查 kube-apiserver 容器是否存在且运行中。
• 端口监听验证：netstat -tuln | grep 6443 判断 API Server 是否在 6443 端口正常监听。

2. 网络配置深度分析

Sealos 部署的 KS8 集群依赖于正确的网络拓扑结构。若主节点防火墙规则未放行关键端口，如 6443（API Server）、10250（kubelet）、30000-32767（NodePort 范围），则外部请求将被阻断。

端口	用途	建议操作
6443	Kubernetes API Server	确保 iptables/firewalld 允许入站
2379-2380	etcd 通信	内部节点间需互通
10250	kubelet API	用于节点健康检查
30000-32767	NodePort 服务暴露	前端访问常用范围

3. 证书与安全机制影响

Sealos 在安装过程中会自动生成 TLS 证书用于组件间认证。若主机时间不同步、域名解析错误或 CA 生成失败，可能导致 kube-apiserver 启动失败或客户端拒绝连接。

# 查看证书有效期
openssl x509 -in /etc/kubernetes/pki/apiserver.crt -text -noout | grep "Validity"

# 检查 kubeconfig 中 server 地址是否匹配实际 LB 或主节点 IP
kubectl config view | grep server

特别注意，在多主高可用场景下，若负载均衡器（如 HAProxy 或 Nginx）未正确指向所有 master 节点的 6443 端口，或健康检查机制失效，也会造成部分请求被丢弃。

4. 故障诊断流程图

graph TD A[无法访问 KS8 主页] --> B{能否 ping 通 Master IP?} B -- 是 --> C[检查 6443 端口是否开放] B -- 否 --> D[排查网络路由/安全组策略] C --> E{telnet IP 6443 成功?} E -- 否 --> F[检查防火墙/iptables 规则] E -- 是 --> G[登录 Master 节点] G --> H[systemctl status kubelet] H --> I{kubelet 是否运行?} I -- 否 --> J[启动 kubelet 并查看 journal 日志] I -- 是 --> K[crictl ps | grep apiserver] K --> L{apiserver 容器运行?} L -- 否 --> M[查看 kubelet 日志: journalctl -u kubelet] L -- 是 --> N[检查 kubectl get nodes 输出]

5. 核心命令验证集群状态

通过以下命令链可系统性验证集群健康度：

1. kubectl get componentstatuses —— 查看 control plane 组件状态（注意：v1.19+ 已弃用，建议使用 kubeadm alpha kubeconfig cluster-info）
2. kubectl get nodes -o wide —— 确认所有节点处于 Ready 状态，且 Internal-IP 正确
3. kubectl get pods -n kube-system —— 检查核心组件 pod 是否 Running
4. journalctl -u kubelet -f —— 实时追踪 kubelet 错误日志
5. ps aux | grep kube-apiserver —— 确认进程参数无误，尤其 --bind-address 和 --advertise-address
6. ip addr show —— 验证网卡绑定地址与集群配置一致
7. sealos status —— 使用 Sealos 自带工具查看集群整体部署状态
8. curl -k https://localhost:6443/healthz —— 本地测试 API Server 健康接口
9. dig +short _etcd-server._tcp.cluster.local SRV —— 若启用 DNS 发现，验证 SRV 记录
10. openssl s_client -connect MASTER_IP:6443 -servername server —— 测试 TLS 握手是否成功