نعم
x509: شهادة موقعة من جهة غير معروفة - داخل شبكة الشركة
إذا وجدت أي تكرارات ، فيجب عليك بدلاً من ذلك الرد وإغلاق هذه الصفحة.
إذا لم تجد أي تكرارات ، فاحذف هذا القسم وتابع.
اختر واحدًا: تقرير خطأ أو طلب ميزة
تقرير الشوائب
إصدار kubeadm (استخدم kubeadm version
): --1.10.4
إصدار kubeadm: & version.Info {Major: "1"، Minor: "10"، GitVersion: "v1.10.4"، GitCommit: "5ca598b4ba5abb89bb773071ce452e33fb66339d"، GitTreeState: "clean"، BuildDate: "2018-06: 06T08: 59Z "، GoVersion:" go1.9.3 "، المترجم:" gc "، النظام الأساسي:" linux / amd64 "}
البيئة :
kubectl version
):CENTOS_MANTISBT_PROJECT = "CentOS-7"
CENTOS_MANTISBT_PROJECT_VERSION = "7"
REDHAT_SUPPORT_PRODUCT = "سنتوس"
REDHAT_SUPPORT_PRODUCT_VERSION = "7"
uname -a
):رمي الخطأ x509: الشهادة موقعة من قبل سلطة غير معروفة
تحتاج إلى تشغيل kubeadm init دون أي خطأ
لقد قمت بتكوين الوكيل في عدة ملفات.
.bash_profile
/ الخ / البيئة
/etc/systemd/system/docker.service.d/http-proxy.conf
/etc/systemd/system/docker.service.d/http-proxy.conf
[خدمة]
البيئة = "HTTP_PROXY = http: //
البيئة = "HTTPS_PROXY = https: //
البيئة = "NO_PROXY = المضيف المحلي ، 127.0.0.1،10.169.150.123"
/ الخ / البيئة
تصدير http_proxy = "http: //
تصدير https_proxy = "https: //
تصدير HTTP_PROXY = "http: //
تصدير HTTPS_PROXY = "https: //
تصدير no_proxy = "10.169.150.123،127.0.0.1، localhost"
في الملف الشخصي باش
تصدير KUBECONFIG = / etc / kubernetes / admin.conf
تصدير http_proxy = "http: //
تصدير https_proxy = "https: //
تصدير HTTP_PROXY = "http: //
تصدير HTTPS_PROXY = "https: //
تصدير no_proxy = "10.169.150.123،127.0.0.1، localhost"
cat / etc / sysconfig / iptables
-A INPUT -p tcp -m state -state NEW -m tcp -dport 6443 -j ACCEPT
-A INPUT -p tcp -m state -state NEW -m tcp -dport 2379-2380 -j ACCEPT
-A INPUT -p tcp -m state -state NEW -m tcp -dport 10250 -j ACCEPT
-A INPUT -p tcp -m state -state NEW -m tcp -dport 10251 -j ACCEPT
-A INPUT -p tcp -m state -state NEW -m tcp -dport 10252 -j ACCEPT
-A INPUT -p tcp -m state -state NEW -m tcp -dport 10255 -j ACCEPT
-A INPUT -p tcp -m state -state NEW -m tcp -dport 8080 -j ACCEPT
وأعد تحميل جدار الحماية.
فحص أيضًا مع تعطيل جدار الحماية.
SELINUX معطل
/etc/systemd/system/kubelet.service.d/10-kubeadm.conf
[خدمة]
البيئة = "KUBELET_KUBECONFIG_ARGS = - bootstrap-kubeconfig = / etc / kubernetes / bootstrap-kubelet.conf --kubeconfig = / etc / kubernetes / kubelet.conf"
البيئة = "KUBELET_SYSTEM_PODS_ARGS = - pod-manifest-path = / etc / kubernetes / manifests --allow -ivileged = true"
البيئة = "KUBELET_DNS_ARGS = - نظام المجموعة dns = 10.96.0.10 - مجال المجموعة = الكتلة المحلية"
البيئة = "KUBELET_AUTHZ_ARGS = - وضع التفويض = الخطاف على الويب --client-ca-file = / etc / kubernetes / pki / ca.crt"
البيئة = "KUBELET_CADVISOR_ARGS = - cadvisor-port = 0"
البيئة = "KUBELET_CGROUP_ARGS = - cgroup-driver = systemd"
البيئة = "KUBELET_CERTIFICATE_ARGS = - تدوير الشهادات = صحيح --cert-dir = / var / lib / kubelet / pki"
البيئة = "KUBELET_EXTRA_ARGS = - تبديل الفشل = خطأ"
ExecStart =
ExecStart = / usr / bin / kubelet $ KUBELET_KUBECONFIG_ARGS $ KUBELET_SYSTEM_PODS_ARGS $ KUBELET_DNS_ARGS $ KUBELET_AUTHZ_ARGS $ KUBELET_CADVISOR_ARGS $ KUBELET_CGRIF_CAR
إذا ركضت بتمرير الإصدار ،
[ root @ kubem1 ~] # kubeadm init --kubernetes-version = v1.10.4
[init] استخدام إصدار Kubernetes: v1.10.4
[init] استخدام أوضاع التفويض: [Node RBAC]
[الاختبار المبدئي] إجراء فحوصات ما قبل الرحلة.
[تحذير HTTPProxyCIDR]: الاتصال بـ "10.96.0.0/12" يستخدم الوكيل "https: // * * * * ". قد يؤدي هذا إلى خلل في إعداد الكتلة. تأكد من تحديد نطاقات IP الخاصة بـ Pod and Services بشكل صحيح كاستثناءات في تكوين الوكيل
[الشهادات] تم إنشاء شهادة ومفتاح ca.
[الشهادات] مُنشأ شهادة ومفتاح apiserver.
[الشهادات] تم توقيع شهادة تقديم خادم apiserver لأسماء DNS [kubem1
[الشهادات] تم إنشاء شهادة العميل والمفتاح apiserver-kubelet.
[الشهادات] تم إنشاؤها مفتاح ومفتاح عام.
[الشهادات] تم إنشاء الشهادة والمفتاح الأمامي للخادم الوكيل.
[الشهادات] تم إنشاء شهادة العميل الأمامي الوكيل والمفتاح.
[الشهادات] تم إنشاء شهادة ومفتاح etcd / ca.
[الشهادات] تم إنشاء شهادة ومفتاح الخادوم / الخادوم.
[الشهادات] تم توقيع شهادة تقديم الخادوم / الخادوم لأسماء DNS [المضيف المحلي] وعناوين IP [127.0.0.1]
[الشهادات] مُنشأ شهادة ومفتاح إلخ / نظير.
تم توقيع [الشهادات] etcd / peer service cert لأسماء DNS [kubem1. * * ** ] وعناوين IP [10.169.150.123]
[الشهادات] تم إنشاء شهادة ومفتاح etcd / healthcheck-client.
[الشهادات] تم إنشاء شهادة ومفتاح العميل apiserver-etcd-client.
[الشهادات] الشهادات والمفاتيح الصالحة موجودة الآن في "/ etc / kubernetes / pki"
[kubeconfig] كتب ملف KubeConfig على القرص: "/etc/kubernetes/admin.conf"
[kubeconfig] كتب ملف KubeConfig على القرص: "/etc/kubernetes/kubelet.conf"
[kubeconfig] كتب ملف KubeConfig على القرص: "/etc/kubernetes/controller-manager.conf"
[kubeconfig] كتب ملف KubeConfig على القرص: "/etc/kubernetes/scheduler.conf"
[لوحة تحكم] كتب بيان جراب ثابت للمكون kube-apiserver إلى "/etc/kubernetes/manifests/kube-apiserver.yaml"
[لوحة تحكم] كتب بيان جراب ثابت للمكون kube-controller-manager إلى "/etc/kubernetes/manifests/kube-controller-manager.yaml"
[لوحة تحكم] كتب بيان جراب ثابت لمكون kube-Scheduler إلى "/etc/kubernetes/manifests/kube-scheduler.yaml"
[etcd] كتب بيان Pod Static لمثيل محلي وما إلى ذلك إلى "/etc/kubernetes/manifests/etcd.yaml"
[init] انتظار kubelet لتمهيد مستوى التحكم مثل Static Pods من الدليل "/ etc / kubernetes / manifests".
[init] قد يستغرق هذا دقيقة أو أكثر إذا كان لا بد من سحب صور مستوى التحكم.
22 يونيو 04:31:34 kubem1. * * * * kubelet [7275]: E0622 04: 31: 34.942572 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: فشل في القائمة * v1.Pod: احصل على https : //10.169.150.123 : 6443 / api / v1 / pods؟ fieldSelector = spec.nodeName٪ 3Dkubem1. * * * * & Limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
22 يونيو 04:31:35 kubem1. * * * * kubelet [7275]: E0622 04: 31: 35.888104 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: فشل في القائمة * v1.Node: Get https: / /10.169.150.123 : 6443 / api / v1 / nodes؟ fieldSelector = metadata.name٪ 3Dkubem1. * * * * & Limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
22 يونيو 04:31:35 kubem1. * * * * kubelet [7275]: E0622 04: 31: 35.888256 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: فشل في القائمة * v1.Service: Get https: / /10.169.150.123 : 6443 / api / v1 / services؟ limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
22 يونيو 04:31:35 kubem1. * * * * kubelet [7275]: E0622 04: 31: 35.943992 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: فشل إدراج الإصدار 1.Pod: احصل على https: //10.169.150.123 : 6443 / api / v1 / pods؟ fieldSelector = spec.nodeName٪ 3Dkubem1. * * * * & Limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
22 يونيو 04:31:36 kubem1. * * * * kubelet [7275]: E0622 04: 31: 36.889648 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: فشل في القائمة * v1.Node: Get https: / /10.169.150.123 : 6443 / api / v1 / nodes؟ fieldSelector = metadata.name٪ 3Dkubem1. * * * * & Limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
22 يونيو 04:31:36 kubem1. * * * * kubelet [7275]: E0622 04: 31: 36.891490 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: فشل في القائمة * v1.Service: Get https: / /10.169.150.123 : 6443 / api / v1 / services؟ limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
22 يونيو 04:31:36 kubem1. * * * * kubelet [7275]: E0622 04: 31: 36.945185 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: فشل إدراج الإصدار 1.Pod: احصل على https: //10.169.150.123 : 6443 / api / v1 / pods؟ fieldSelector = spec.nodeName٪ 3Dkubem1. * * * * & Limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
22 يونيو 04:31:37 kubem1. * * * * kubelet [7275]: E0622 04: 31: 37.890407 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: فشل في القائمة * v1.Node: Get https: / /10.169.150.123 : 6443 / api / v1 / nodes؟ fieldSelector = metadata.name٪ 3Dkubem1. * * * * & Limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
22 يونيو 04:31:37 kubem1. * * * * kubelet [7275]: E0622 04: 31: 37.891696 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: فشل في القائمة * v1.Service: Get https: / /10.169.150.123 : 6443 / api / v1 / services؟ limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
22 يونيو 04:31:37 kubem1. * * * * kubelet [7275]: E0622 04: 31: 37.946023 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: فشل إدراج الإصدار 1.Pod: احصل على https: //10.169.150.123 : 6443 / api / v1 / pods؟ fieldSelector = spec.nodeName٪ 3Dkubem1. * * * * & Limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
22 يونيو 04:31:38 kubem1. * * * * kubelet [7275]: E0622 04: 31: 38.121910 7275 eviction_manager.go: 247] مدير الإخلاء: فشل في الحصول على إحصائيات موجزة: فشل في الحصول على معلومات العقدة: العقدة "kubem1. * * * * " غير موجود
22 يونيو 04:31:38 kubem1. * * * * kubelet [7275]: E0622 04: 31: 38.892292 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: فشل في القائمة * v1.Node: Get https: / /10.169.150.123 : 6443 / api / v1 / nodes؟ fieldSelector = metadata.name٪ 3Dkubem1. * * * * & Limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
22 يونيو 04:31:38 kubem1. * * * * kubelet [7275]: E0622 04: 31: 38.894157 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: فشل في القائمة * v1.Service: Get https: / /10.169.150.123 : 6443 / api / v1 / services؟ limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: رفض الاتصال
22 يونيو 04:31:38 kubem1. * * * * kubelet [7275]: E0622 04: 31: 38.947002 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: فشل إدراج الإصدار 1.Pod: احصل على https: //10.169.150.123 : 6443 / api / v1 / pods؟ fieldSelector = spec.nodeName٪ 3Dkubem1. * * * * & Limit = 500 & ResourceVersion = 0: اطلب tcp 10.169.150.123:6443: getockopt: تم رفض الاتصال
أضاف أيضًا /etc/resolve.conf
[ root @ kubem1 ~] # cat /etc/resolv.conf
خادم الأسماء 8.8.8.8
خادم الأسماء 8.8.4.4
هل يجب علي إضافة أي إدخال في هذا الملف ؟؟
هل يجب علي استيراد أي شهادة ؟؟
أنا في بيئة قريبة
حاولت أيضًا ما يلي ،
إعادة تعيين kubeadm
إعادة تحميل البرنامج الخفي systemctl
إعادة تشغيل systemctl docker.service
توقف systemctl خدمة kubelet
الصور أدناه لم تكن قادرة على سحب من خلال عامل الميناء.
سحب عامل ميناء k8s.gcr.io/kube-apiserver-amd64:v1.10.3
سحب عامل ميناء k8s.gcr.io/kube-controller-manager-amd64:v1.10.3
سحب عامل ميناء k8s.gcr.io/kube-scheduler-amd64:v1.10.3
سحب عامل ميناء k8s.gcr.io/etcd-amd64:3.1.12
يمكنني هنا رؤية spec.nodeName=kubem1.*****************
، والذي يبدو أنه FQDN تم تعديله. من ناحية أخرى ، في تكوين DNS الخاص بك ، لا يبدو أن لديك توجيهات المجال والبحث .
هل خوادم Google DNS مسموح بها حتى في شبكتك؟ قد تضطر إلى الاتصال بمسؤول الشبكة المحلية للحصول على مزيد من المعلومات حول ذلك.
علاوة على ذلك ، إذا فشل docker pull
بالنسبة لك ، فقد يكون ذلك بسبب مشاكل DNS. ما هو الخطأ الذي فشل به docker pull
؟
k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: Failed to list v1.Pod: Get https://10.169.150.123:6443/api/v1/pods?fieldSelector=spec.nodeName%3Dkubem1.*****************&limit=500&resourceVersion=0: dial tcp 10.169.150.123:6443: getsockopt: connection refused
لقد قمت بتحرير هذا للنشر في github 'spec.nodeName = kubem1. * * * * * '
Google DNS غير مسموح به في شبكتنا.
يعمل Docker pull مع بقية الصور ، لكن سحب "Docker pull k8s.gcr.io/kube-apiserver-amd64:v1.10.3" لا يعمل.
يرجى إعلامي إذا كنت بحاجة إلى إجراء أي تعديلات في ملف التكوين.
/ تعيين liztio
تم إغلاق هذه المشكلة نظرًا لعدم وجود إرشادات قوية حول أداة إعادة الإنتاج.
يرجى إعادة الفتح إذا استمرت المشكلة.
التعليق الأكثر فائدة
يمكنني هنا رؤية
spec.nodeName=kubem1.*****************
، والذي يبدو أنه FQDN تم تعديله. من ناحية أخرى ، في تكوين DNS الخاص بك ، لا يبدو أن لديك توجيهات المجال والبحث .هل خوادم Google DNS مسموح بها حتى في شبكتك؟ قد تضطر إلى الاتصال بمسؤول الشبكة المحلية للحصول على مزيد من المعلومات حول ذلك.
علاوة على ذلك ، إذا فشل
docker pull
بالنسبة لك ، فقد يكون ذلك بسبب مشاكل DNS. ما هو الخطأ الذي فشل بهdocker pull
؟