هل هذا طلب مساعدة؟

نعم

ما الكلمات الرئيسية التي بحثت عنها في قضايا kubeadm قبل حفظ هذا؟

x509: شهادة موقعة من جهة غير معروفة - داخل شبكة الشركة

إذا وجدت أي تكرارات ، فيجب عليك بدلاً من ذلك الرد وإغلاق هذه الصفحة.

إذا لم تجد أي تكرارات ، فاحذف هذا القسم وتابع.

هل هذا تقرير خطأ أم طلب ميزة؟

اختر واحدًا: تقرير خطأ أو طلب ميزة

تقرير الشوائب

إصدارات

إصدار kubeadm (استخدم kubeadm version ): --1.10.4
إصدار kubeadm: & version.Info {Major: "1"، Minor: "10"، GitVersion: "v1.10.4"، GitCommit: "5ca598b4ba5abb89bb773071ce452e33fb66339d"، GitTreeState: "clean"، BuildDate: "2018-06: 06T08: 59Z "، GoVersion:" go1.9.3 "، المترجم:" gc "، النظام الأساسي:" linux / amd64 "}

البيئة :

• إصدار Kubernetes (استخدم kubectl version ):
• مزود السحابة أو تكوين الأجهزة :
• نظام التشغيل (على سبيل المثال من / etc / os-release):
  NAME = "CentOS Linux"
  الإصدار = "7 (الأساسية)"
  المعرف = "centos"
  ID_LIKE = "ريل فيدورا"
  VERSION_ID = "7"
  PRETTY_NAME = "CentOS Linux 7 (Core)"
  ANSI_COLOR = "0 ؛ 31"
  CPE_NAME = "cpe: / o: centos: centos : 7"
  HOME_URL = " https://www.centos.org/ "
  BUG_REPORT_URL = " https://bugs.centos.org/ "

CENTOS_MANTISBT_PROJECT = "CentOS-7"
CENTOS_MANTISBT_PROJECT_VERSION = "7"
REDHAT_SUPPORT_PRODUCT = "سنتوس"
REDHAT_SUPPORT_PRODUCT_VERSION = "7"

• Kernel (على سبيل المثال uname -a ):
  لينكس kubem13.10.0-123.el7.x86_64 # 1 SMP الاثنين 30 يونيو 12:09:22 بالتوقيت العالمي المنسق 2014 x86_64 x86_64 x86_64 GNU / Linux
• آخرون :

ماذا حدث؟

رمي الخطأ x509: الشهادة موقعة من قبل سلطة غير معروفة

ماذا توقعت أن يحدث؟

تحتاج إلى تشغيل kubeadm init دون أي خطأ

كيف يتم إعادة إنتاجه (بأقل قدر ممكن من الدقة والدقة)؟

أي شيء آخر نحن بحاجة إلى معرفته؟

لقد قمت بتكوين الوكيل في عدة ملفات.

.bash_profile
/ الخ / البيئة
/etc/systemd/system/docker.service.d/http-proxy.conf

/etc/systemd/system/docker.service.d/http-proxy.conf

[خدمة]
البيئة = "HTTP_PROXY = http: //:@: 8080 "
البيئة = "HTTPS_PROXY = https: //:@: 8080 "
البيئة = "NO_PROXY = المضيف المحلي ، 127.0.0.1،10.169.150.123"

/ الخ / البيئة

تصدير http_proxy = "http: //:@: 8080 "
تصدير https_proxy = "https: //:@: 8080 "
تصدير HTTP_PROXY = "http: //:@: 8080 "
تصدير HTTPS_PROXY = "https: //:@: 8080 "
تصدير no_proxy = "10.169.150.123،127.0.0.1، localhost"

في الملف الشخصي باش

تصدير KUBECONFIG = / etc / kubernetes / admin.conf
تصدير http_proxy = "http: //:@: 8080 "
تصدير https_proxy = "https: //:@: 8080 "
تصدير HTTP_PROXY = "http: //:@: 8080 "
تصدير HTTPS_PROXY = "https: //:@: 8080 "
تصدير no_proxy = "10.169.150.123،127.0.0.1، localhost"

فتح المنافذ اللازمة

cat / etc / sysconfig / iptables

-A INPUT -p tcp -m state -state NEW -m tcp -dport 6443 -j ACCEPT
-A INPUT -p tcp -m state -state NEW -m tcp -dport 2379-2380 -j ACCEPT
-A INPUT -p tcp -m state -state NEW -m tcp -dport 10250 -j ACCEPT
-A INPUT -p tcp -m state -state NEW -m tcp -dport 10251 -j ACCEPT
-A INPUT -p tcp -m state -state NEW -m tcp -dport 10252 -j ACCEPT
-A INPUT -p tcp -m state -state NEW -m tcp -dport 10255 -j ACCEPT
-A INPUT -p tcp -m state -state NEW -m tcp -dport 8080 -j ACCEPT

وأعد تحميل جدار الحماية.

فحص أيضًا مع تعطيل جدار الحماية.

SELINUX معطل

######## علق KUBELET_NETWORK_ARGS

/etc/systemd/system/kubelet.service.d/10-kubeadm.conf

[خدمة]
البيئة = "KUBELET_KUBECONFIG_ARGS = - bootstrap-kubeconfig = / etc / kubernetes / bootstrap-kubelet.conf --kubeconfig = / etc / kubernetes / kubelet.conf"
البيئة = "KUBELET_SYSTEM_PODS_ARGS = - pod-manifest-path = / etc / kubernetes / manifests --allow -ivileged = true"

البيئة = "KUBELET_NETWORK_ARGS = - المكون الإضافي للشبكة = cni --cni-conf-dir = / etc / cni / net.d --cni-bin-dir = / opt / cni / bin"

البيئة = "KUBELET_DNS_ARGS = - نظام المجموعة dns = 10.96.0.10 - مجال المجموعة = الكتلة المحلية"
البيئة = "KUBELET_AUTHZ_ARGS = - وضع التفويض = الخطاف على الويب --client-ca-file = / etc / kubernetes / pki / ca.crt"
البيئة = "KUBELET_CADVISOR_ARGS = - cadvisor-port = 0"
البيئة = "KUBELET_CGROUP_ARGS = - cgroup-driver = systemd"
البيئة = "KUBELET_CERTIFICATE_ARGS = - تدوير الشهادات = صحيح --cert-dir = / var / lib / kubelet / pki"
البيئة = "KUBELET_EXTRA_ARGS = - تبديل الفشل = خطأ"
ExecStart =
ExecStart = / usr / bin / kubelet $ KUBELET_KUBECONFIG_ARGS $ KUBELET_SYSTEM_PODS_ARGS $ KUBELET_DNS_ARGS $ KUBELET_AUTHZ_ARGS $ KUBELET_CADVISOR_ARGS $ KUBELET_CGRIF_CAR

إذا ركضت بتمرير الإصدار ،

[ root @ kubem1 ~] # kubeadm init --kubernetes-version = v1.10.4
[init] استخدام إصدار Kubernetes: v1.10.4
[init] استخدام أوضاع التفويض: [Node RBAC]
[الاختبار المبدئي] إجراء فحوصات ما قبل الرحلة.
[تحذير HTTPProxyCIDR]: الاتصال بـ "10.96.0.0/12" يستخدم الوكيل "https: // * * * * ". قد يؤدي هذا إلى خلل في إعداد الكتلة. تأكد من تحديد نطاقات IP الخاصة بـ Pod and Services بشكل صحيح كاستثناءات في تكوين الوكيل
[الشهادات] تم إنشاء شهادة ومفتاح ca.
[الشهادات] مُنشأ شهادة ومفتاح apiserver.
[الشهادات] تم توقيع شهادة تقديم خادم apiserver لأسماء DNS [kubem1kubernetes kubernetes.default kubernetes.default.svc kubernetes.default.svc.cluster.local] وعناوين IP [10.96.0.1 10.169.150.123]
[الشهادات] تم إنشاء شهادة العميل والمفتاح apiserver-kubelet.
[الشهادات] تم إنشاؤها مفتاح ومفتاح عام.
[الشهادات] تم إنشاء الشهادة والمفتاح الأمامي للخادم الوكيل.
[الشهادات] تم إنشاء شهادة العميل الأمامي الوكيل والمفتاح.
[الشهادات] تم إنشاء شهادة ومفتاح etcd / ca.
[الشهادات] تم إنشاء شهادة ومفتاح الخادوم / الخادوم.
[الشهادات] تم توقيع شهادة تقديم الخادوم / الخادوم لأسماء DNS [المضيف المحلي] وعناوين IP [127.0.0.1]
[الشهادات] مُنشأ شهادة ومفتاح إلخ / نظير.
تم توقيع [الشهادات] etcd / peer service cert لأسماء DNS [kubem1. * * ** ] وعناوين IP [10.169.150.123]
[الشهادات] تم إنشاء شهادة ومفتاح etcd / healthcheck-client.
[الشهادات] تم إنشاء شهادة ومفتاح العميل apiserver-etcd-client.
[الشهادات] الشهادات والمفاتيح الصالحة موجودة الآن في "/ etc / kubernetes / pki"
[kubeconfig] كتب ملف KubeConfig على القرص: "/etc/kubernetes/admin.conf"
[kubeconfig] كتب ملف KubeConfig على القرص: "/etc/kubernetes/kubelet.conf"
[kubeconfig] كتب ملف KubeConfig على القرص: "/etc/kubernetes/controller-manager.conf"
[kubeconfig] كتب ملف KubeConfig على القرص: "/etc/kubernetes/scheduler.conf"
[لوحة تحكم] كتب بيان جراب ثابت للمكون kube-apiserver إلى "/etc/kubernetes/manifests/kube-apiserver.yaml"
[لوحة تحكم] كتب بيان جراب ثابت للمكون kube-controller-manager إلى "/etc/kubernetes/manifests/kube-controller-manager.yaml"
[لوحة تحكم] كتب بيان جراب ثابت لمكون kube-Scheduler إلى "/etc/kubernetes/manifests/kube-scheduler.yaml"
[etcd] كتب بيان Pod Static لمثيل محلي وما إلى ذلك إلى "/etc/kubernetes/manifests/etcd.yaml"
[init] انتظار kubelet لتمهيد مستوى التحكم مثل Static Pods من الدليل "/ etc / kubernetes / manifests".
[init] قد يستغرق هذا دقيقة أو أكثر إذا كان لا بد من سحب صور مستوى التحكم.

############# سجل أخطاء الدخول

22 يونيو 04:31:34 kubem1. * * * * kubelet [7275]: E0622 04: 31: 34.942572 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: فشل في القائمة * v1.Pod: احصل على https : //10.169.150.123 : 6443 / api / v1 / pods؟ fieldSelector = spec.nodeName٪ 3Dkubem1. * * * * & Limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
22 يونيو 04:31:35 kubem1. * * * * kubelet [7275]: E0622 04: 31: 35.888104 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: فشل في القائمة * v1.Node: Get https: / /10.169.150.123 : 6443 / api / v1 / nodes؟ fieldSelector = metadata.name٪ 3Dkubem1. * * * * & Limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
22 يونيو 04:31:35 kubem1. * * * * kubelet [7275]: E0622 04: 31: 35.888256 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: فشل في القائمة * v1.Service: Get https: / /10.169.150.123 : 6443 / api / v1 / services؟ limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
22 يونيو 04:31:35 kubem1. * * * * kubelet [7275]: E0622 04: 31: 35.943992 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: فشل إدراج الإصدار 1.Pod: احصل على https: //10.169.150.123 : 6443 / api / v1 / pods؟ fieldSelector = spec.nodeName٪ 3Dkubem1. * * * * & Limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
22 يونيو 04:31:36 kubem1. * * * * kubelet [7275]: E0622 04: 31: 36.889648 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: فشل في القائمة * v1.Node: Get https: / /10.169.150.123 : 6443 / api / v1 / nodes؟ fieldSelector = metadata.name٪ 3Dkubem1. * * * * & Limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
22 يونيو 04:31:36 kubem1. * * * * kubelet [7275]: E0622 04: 31: 36.891490 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: فشل في القائمة * v1.Service: Get https: / /10.169.150.123 : 6443 / api / v1 / services؟ limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
22 يونيو 04:31:36 kubem1. * * * * kubelet [7275]: E0622 04: 31: 36.945185 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: فشل إدراج الإصدار 1.Pod: احصل على https: //10.169.150.123 : 6443 / api / v1 / pods؟ fieldSelector = spec.nodeName٪ 3Dkubem1. * * * * & Limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
22 يونيو 04:31:37 kubem1. * * * * kubelet [7275]: E0622 04: 31: 37.890407 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: فشل في القائمة * v1.Node: Get https: / /10.169.150.123 : 6443 / api / v1 / nodes؟ fieldSelector = metadata.name٪ 3Dkubem1. * * * * & Limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
22 يونيو 04:31:37 kubem1. * * * * kubelet [7275]: E0622 04: 31: 37.891696 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: فشل في القائمة * v1.Service: Get https: / /10.169.150.123 : 6443 / api / v1 / services؟ limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
22 يونيو 04:31:37 kubem1. * * * * kubelet [7275]: E0622 04: 31: 37.946023 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: فشل إدراج الإصدار 1.Pod: احصل على https: //10.169.150.123 : 6443 / api / v1 / pods؟ fieldSelector = spec.nodeName٪ 3Dkubem1. * * * * & Limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
22 يونيو 04:31:38 kubem1. * * * * kubelet [7275]: E0622 04: 31: 38.121910 7275 eviction_manager.go: 247] مدير الإخلاء: فشل في الحصول على إحصائيات موجزة: فشل في الحصول على معلومات العقدة: العقدة "kubem1. * * * * " غير موجود
22 يونيو 04:31:38 kubem1. * * * * kubelet [7275]: E0622 04: 31: 38.892292 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: فشل في القائمة * v1.Node: Get https: / /10.169.150.123 : 6443 / api / v1 / nodes؟ fieldSelector = metadata.name٪ 3Dkubem1. * * * * & Limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
22 يونيو 04:31:38 kubem1. * * * * kubelet [7275]: E0622 04: 31: 38.894157 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: فشل في القائمة * v1.Service: Get https: / /10.169.150.123 : 6443 / api / v1 / services؟ limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: رفض الاتصال
22 يونيو 04:31:38 kubem1. * * * * kubelet [7275]: E0622 04: 31: 38.947002 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: فشل إدراج الإصدار 1.Pod: احصل على https: //10.169.150.123 : 6443 / api / v1 / pods؟ fieldSelector = spec.nodeName٪ 3Dkubem1. * * * * & Limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال

أضاف أيضًا /etc/resolve.conf

[ root @ kubem1 ~] # cat /etc/resolv.conf

تم إنشاؤه بواسطة NetworkManager

المجال <>

بحث <>

خادم الأسماء <>

خادم الأسماء <>

خادم الأسماء 8.8.8.8
خادم الأسماء 8.8.4.4

هل يجب علي إضافة أي إدخال في هذا الملف ؟؟

هل يجب علي استيراد أي شهادة ؟؟

أنا في بيئة قريبة

حاولت أيضًا ما يلي ،

إعادة تعيين kubeadm
إعادة تحميل البرنامج الخفي systemctl
إعادة تشغيل systemctl docker.service
توقف systemctl خدمة kubelet

الصور أدناه لم تكن قادرة على سحب من خلال عامل الميناء.

سحب عامل ميناء k8s.gcr.io/kube-apiserver-amd64:v1.10.3
سحب عامل ميناء k8s.gcr.io/kube-controller-manager-amd64:v1.10.3
سحب عامل ميناء k8s.gcr.io/kube-scheduler-amd64:v1.10.3
سحب عامل ميناء k8s.gcr.io/etcd-amd64:3.1.12