JA
x509: Zertifikat von unbekannter Autorität signiert -- INNERHALB DES UNTERNEHMENSNETZWERKS
Wenn Sie Duplikate gefunden haben, sollten Sie stattdessen dort antworten und diese Seite schließen.
Wenn Sie keine Duplikate gefunden haben, löschen Sie diesen Abschnitt und fahren Sie fort.
Wählen Sie eine: FEHLERBERICHT oder FUNKTIONSANFRAGE
Fehlerbericht
kubeadm-Version (verwenden Sie kubeadm version
): --1.10.4
kubeadm-Version: &version.Info{Major:"1", Minor:"10", GitVersion:"v1.10.4", GitCommit:"5ca598b4ba5abb89bb773071ce452e33fb66339d", GitTreeState:"clean", BuildDate:"2018-06-06T08:00: 59Z", GoVersion:"go1.9.3", Compiler:"gc", Plattform:"linux/amd64"}
Umgebung :
kubectl version
):CENTOS_MANTISBT_PROJECT="CentOS-7"
CENTOS_MANTISBT_PROJECT_VERSION="7"
REDHAT_SUPPORT_PRODUCT="centos"
REDHAT_SUPPORT_PRODUCT_VERSION="7"
uname -a
):Wurffehler x509: Zertifikat von unbekannter Autorität signiert
Muss kubeadm init ohne Fehler ausführen
Ich habe Proxy in mehreren Dateien konfiguriert.
.bash_profile
/etc/umgebung
/etc/systemd/system/docker.service.d/http-proxy.conf
/etc/systemd/system/docker.service.d/http-proxy.conf
[Service]
Umgebung="HTTP_PROXY=http://
Umgebung="HTTPS_PROXY=https://
Umgebung="NO_PROXY=localhost,127.0.0.1,10.169.150.123"
/etc/umgebung
exportiere http_proxy="http://
exportieren https_proxy="https://
export HTTP_PROXY="http://
export HTTPS_PROXY="https://
export no_proxy="10.169.150.123,127.0.0.1,localhost"
IN Bash-Profil
export KUBECONFIG=/etc/kubernetes/admin.conf
exportiere http_proxy="http://
exportieren https_proxy="https://
export HTTP_PROXY="http://
export HTTPS_PROXY="https://
export no_proxy="10.169.150.123,127.0.0.1,localhost"
cat /etc/sysconfig/iptables
-A INPUT -p tcp -m Zustand --state NEW -m tcp --dport 6443 -j ACCEPT
-A INPUT -p tcp -m Zustand --state NEU -m tcp --dport 2379-2380 -j AKZEPTIEREN
-A INPUT -p tcp -m Zustand --state NEW -m tcp --dport 10250 -j ACCEPT
-A INPUT -p tcp -m Zustand --state NEW -m tcp --dport 10251 -j ACCEPT
-A INPUT -p tcp -m Zustand --state NEW -m tcp --dport 10252 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 10255 -j ACCEPT
-A INPUT -p tcp -m Zustand --state NEW -m tcp --dport 8080 -j ACCEPT
und die Firewall neu geladen.
AUCH mit Deaktivierung der Firewall überprüft.
Deaktiviert SELINUX
/etc/systemd/system/kubelet.service.d/10-kubeadm.conf
[Service]
Environment="KUBELET_KUBECONFIG_ARGS=--bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.conf --kubeconfig=/etc/kubernetes/kubelet.conf"
Environment="KUBELET_SYSTEM_PODS_ARGS=--pod-manifest-path=/etc/kubernetes/manifests --allow-privileged=true"
Environment="KUBELET_DNS_ARGS=--cluster-dns=10.96.0.10 --cluster-domain=cluster.local"
Environment="KUBELET_AUTHZ_ARGS=--authorization-mode=Webhook --client-ca-file=/etc/kubernetes/pki/ca.crt"
Environment="KUBELET_CADVISOR_ARGS=--cadvisor-port=0"
Environment="KUBELET_CGROUP_ARGS=--cgroup-driver=systemd"
Environment="KUBELET_CERTIFICATE_ARGS=--rotate-certificates=true --cert-dir=/var/lib/kubelet/pki"
Environment="KUBELET_EXTRA_ARGS=--fail-swap-on=false"
AusführenStart=
ExecStart=/usr/bin/kubelet $KUBELET_KUBECONFIG_ARGS $KUBELET_SYSTEM_PODS_ARGS $KUBELET_DNS_ARGS $KUBELET_AUTHZ_ARGS $KUBELET_CADVISOR_ARGS $KUBELET_CGROUP_ARGS $KUBELET_CERTIFICATE_ARGS $KUGBELET
Wenn ich die Version übergebe,
[ root@kubem1 ~]# kubeadm init --kubernetes-version=v1.10.4
[init] Kubernetes-Version verwenden: v1.10.4
[init] Verwenden von Autorisierungsmodi: [Node RBAC]
[Preflight] Ausführen von Pre-Flight-Checks.
[WARNUNG HTTPProxyCIDR]: Verbindung zu "10.96.0.0/12" verwendet den Proxy "https:// * * * * ". Dies kann zu einem fehlerhaften Cluster-Setup führen. Stellen Sie sicher, dass die IP-Bereiche von Pod und Services als Ausnahmen in der Proxy-Konfiguration richtig angegeben sind
[Zertifikate] Generiertes CA-Zertifikat und -Schlüssel.
[Zertifikate] Generiertes Apiserver-Zertifikat und -Schlüssel.
[Zertifikate] Apiserver-Serving-Zertifikat ist für DNS-Namen signiert [kubem1
[Zertifikate] Generiertes apiserver-kubelet-client-Zertifikat und -Schlüssel.
[Zertifikate] Erzeugter sa-Schlüssel und öffentlicher Schlüssel.
[Zertifikate] Generiertes Front-Proxy-CA-Zertifikat und -Schlüssel.
[Zertifikate] Generiertes Front-Proxy-Client-Zertifikat und -Schlüssel.
[Zertifikate] Generiertes etcd/ca-Zertifikat und Schlüssel.
[Zertifikate] Generiertes etcd/Server-Zertifikat und Schlüssel.
[Zertifikate] etcd/Server Serving-Zertifikat ist für DNS-Namen [localhost] und IPs [127.0.0.1] signiert
[Zertifikate] Generiertes etcd/Peer-Zertifikat und Schlüssel.
[Zertifikate] etcd/Peer Serving-Zertifikat ist für DNS-Namen signiert [kubem1. * * ** ] und IPs [10.169.150.123]
[Zertifikate] Generiertes etcd/Healthcheck-Client-Zertifikat und -Schlüssel.
[Zertifikate] Generiertes apiserver-etcd-client-Zertifikat und -Schlüssel.
[Zertifikate] Gültige Zertifikate und Schlüssel existieren jetzt in "/etc/kubernetes/pki"
[kubeconfig] KubeConfig-Datei auf Datenträger geschrieben: "/etc/kubernetes/admin.conf"
[kubeconfig] KubeConfig-Datei auf Festplatte geschrieben: "/etc/kubernetes/kubelet.conf"
[kubeconfig] KubeConfig-Datei auf Datenträger geschrieben: "/etc/kubernetes/controller-manager.conf"
[kubeconfig] KubeConfig-Datei auf die Festplatte geschrieben: "/etc/kubernetes/scheduler.conf"
[controlplane] Static Pod-Manifest für die Komponente kube-apiserver in "/etc/kubernetes/manifests/kube-apiserver.yaml" geschrieben
[controlplane] Static Pod-Manifest für die Komponente kube-controller-manager in "/etc/kubernetes/manifests/kube-controller-manager.yaml" geschrieben
[controlplane] Static Pod-Manifest für die Komponente kube-scheduler in "/etc/kubernetes/manifests/kube-scheduler.yaml" geschrieben
[etcd] Static Pod-Manifest für eine lokale etcd-Instanz in "/etc/kubernetes/manifests/etcd.yaml" geschrieben
[init] Warten darauf, dass das Kubelet die Steuerungsebene als statische Pods aus dem Verzeichnis "/etc/kubernetes/manifests" hochfährt.
[init] Dies kann eine Minute oder länger dauern, wenn die Bilder der Steuerebene gezogen werden müssen.
22. Juni 04:31:34 kubem1. * * * * kubelet[7275]: E0622 04:31:34.942572 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: Fehler beim Auflisten von *v1.Pod: https ://10.169.150.123 :6443/api/v1/pods?fieldSelector=spec.nodeName%3Dkubem1. * * * * &limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getockopt: Verbindung abgelehnt
22. Juni 04:31:35 kubem1. * * * * kubelet[7275]: E0622 04:31:35.888104 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: Fehler beim Auflisten *v1.Node: https:/ /10.169.150.123 :6443/api/v1/nodes?fieldSelector=metadata.name%3Dkubem1. * * * * &limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getockopt: Verbindung abgelehnt
22. Juni 04:31:35 kubem1. * * * * kubelet[7275]: E0622 04:31:35.888256 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: Fehler beim Auflisten *v1.Service: https:/ /10.169.150.123 :6443/api/v1/services?limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getsockopt: Verbindung abgelehnt
22. Juni 04:31:35 kubem1. * * * * kubelet[7275]: E0622 04:31:35.943992 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: Fehler beim Auflisten von v1.Pod: https abrufen * * * * &limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getockopt: Verbindung abgelehnt
22. Juni 04:31:36 kubem1. * * * * kubelet[7275]: E0622 04:31:36.889648 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: Fehler beim Auflisten *v1.Node: https:/ /10.169.150.123 :6443/api/v1/nodes?fieldSelector=metadata.name%3Dkubem1. * * * * &limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getockopt: Verbindung abgelehnt
22. Juni 04:31:36 kubem1. * * * * kubelet[7275]: E0622 04:31:36.891490 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: Fehler beim Auflisten *v1.Service: https:/ /10.169.150.123 :6443/api/v1/services?limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getsockopt: Verbindung abgelehnt
22. Juni 04:31:36 kubem1. * * * * kubelet[7275]: E0622 04:31:36.945185 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: Fehler beim Auflisten von v1.Pod: https abrufen * * * * &limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getockopt: Verbindung abgelehnt
22. Juni 04:31:37 kubem1. * * * * kubelet[7275]: E0622 04:31:37.890407 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: Fehler beim Auflisten *v1.Node: Get https:/ /10.169.150.123 :6443/api/v1/nodes?fieldSelector=metadata.name%3Dkubem1. * * * * &limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getockopt: Verbindung abgelehnt
22. Juni 04:31:37 kubem1. * * * * kubelet[7275]: E0622 04:31:37.891696 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: Fehler beim Auflisten *v1.Service: https:/ /10.169.150.123 :6443/api/v1/services?limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getsockopt: Verbindung abgelehnt
22. Juni 04:31:37 kubem1. * * * * kubelet[7275]: E0622 04:31:37.946023 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: Fehler beim Auflisten von v1.Pod: https abrufen * * * * &limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getockopt: Verbindung abgelehnt
22. Juni 04:31:38 kubem1. * * * * kubelet[7275]: E0622 04:31:38.121910 7275 eviction_manager.go:247] Räumungsmanager: Zusammenfassung der Statistiken konnte nicht abgerufen werden: Knoteninfo konnte nicht abgerufen werden: Knoten "kubem1. * * * * " nicht gefunden
22. Juni 04:31:38 kubem1. * * * * kubelet[7275]: E0622 04:31:38.892292 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: Fehler beim Auflisten *v1.Node: Get https:/ /10.169.150.123 :6443/api/v1/nodes?fieldSelector=metadata.name%3Dkubem1. * * * * &limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getockopt: Verbindung abgelehnt
22. Juni 04:31:38 kubem1. * * * * kubelet[7275]: E0622 04:31:38.894157 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: Fehler beim Auflisten *v1.Service: https:/ /10.169.150.123 :6443/api/v1/services?limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getsockopt: Verbindung abgelehnt
22. Juni 04:31:38 kubem1. * * * * kubelet[7275]: E0622 04:31:38.947002 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: Fehler beim Auflisten von v1.Pod: https abrufen * * * * &limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getockopt: Verbindung abgelehnt
auch /etc/resolve.conf hinzugefügt
[ root@kubem1 ~]# cat /etc/resolv.conf
Nameserver 8.8.8.8
Nameserver 8.8.4.4
Soll ich dieser Datei einen Eintrag hinzufügen?
Soll ich irgendein Zertifikat importieren??
ICH BIN IN EINER PROXY-UMGEBUNG
Habe auch folgendes probiert,
kubeadm zurücksetzen
systemctl daemon-reload
systemctl docker.service neu starten
systemctl stop kubelet.service
Die folgenden Bilder konnten nicht durch das Docker gezogen werden.
docker pull k8s.gcr.io/kube-apiserver-amd64:v1.10.3
docker pull k8s.gcr.io/kube-controller-manager-amd64:v1.10.3
docker pull k8s.gcr.io/kube-scheduler-amd64:v1.10.3
Docker Pull k8s.gcr.io/etcd-amd64:3.1.12
Hier sehe ich spec.nodeName=kubem1.*****************
, was ein herausgeschnittener FQDN zu sein scheint. Auf der anderen Seite, in Ihrer DNS - Konfiguration, scheinen Sie nicht Richtlinien Domain und suchen zu haben.
Sind Google DNS-Server in Ihrem Netzwerk überhaupt erlaubt? Sie müssen sich möglicherweise an Ihren lokalen Netzwerkadministrator wenden, um weitere Informationen dazu zu erhalten.
Darüber hinaus kann es an DNS-Problemen liegen, wenn docker pull
für Sie fehlschlägt. Was ist der Fehler, mit dem docker pull
fehlschlägt?
k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: Failed to list v1.Pod: Get https://10.169.150.123:6443/api/v1/pods?fieldSelector=spec.nodeName%3Dkubem1.*****************&limit=500&resourceVersion=0: dial tcp 10.169.150.123:6443: getsockopt: connection refused
Ich habe dies für die Veröffentlichung im Github 'spec.nodeName=kubem1. * * * * * '
Google DNS ist in unserem Netzwerk nicht erlaubt.
Docker Pull funktioniert für den Rest der Images, aber das Ziehen von "docker pull k8s.gcr.io/kube-apiserver-amd64:v1.10.3" funktioniert nicht.
Bitte lassen Sie mich wissen, wenn ich Änderungen in der Konfigurationsdatei vornehmen muss.
/ @liztio zuweisen
Dieses Problem wird geschlossen, da keine soliden Reproduktionsanweisungen vorhanden sind.
Bitte öffnen Sie erneut, wenn es weiterhin ein Problem gibt.
Hilfreichster Kommentar
Hier sehe ich
spec.nodeName=kubem1.*****************
, was ein herausgeschnittener FQDN zu sein scheint. Auf der anderen Seite, in Ihrer DNS - Konfiguration, scheinen Sie nicht Richtlinien Domain und suchen zu haben.Sind Google DNS-Server in Ihrem Netzwerk überhaupt erlaubt? Sie müssen sich möglicherweise an Ihren lokalen Netzwerkadministrator wenden, um weitere Informationen dazu zu erhalten.
Darüber hinaus kann es an DNS-Problemen liegen, wenn
docker pull
für Sie fehlschlägt. Was ist der Fehler, mit demdocker pull
fehlschlägt?