Ist das eine Bitte um Hilfe?

JA

Nach welchen Schlüsselwörtern haben Sie in kubeadm-Problemen gesucht, bevor Sie dieses eingereicht haben?

x509: Zertifikat von unbekannter Autorität signiert -- INNERHALB DES UNTERNEHMENSNETZWERKS

Wenn Sie Duplikate gefunden haben, sollten Sie stattdessen dort antworten und diese Seite schließen.

Wenn Sie keine Duplikate gefunden haben, löschen Sie diesen Abschnitt und fahren Sie fort.

Ist dies ein FEHLERBERICHT oder eine FEATURE-ANFRAGE?

Wählen Sie eine: FEHLERBERICHT oder FUNKTIONSANFRAGE

Fehlerbericht

Versionen

kubeadm-Version (verwenden Sie kubeadm version ): --1.10.4
kubeadm-Version: &version.Info{Major:"1", Minor:"10", GitVersion:"v1.10.4", GitCommit:"5ca598b4ba5abb89bb773071ce452e33fb66339d", GitTreeState:"clean", BuildDate:"2018-06-06T08:00: 59Z", GoVersion:"go1.9.3", Compiler:"gc", Plattform:"linux/amd64"}

Umgebung :

• Kubernetes-Version (verwenden Sie kubectl version ):
• Cloud-Anbieter oder Hardware-Konfiguration :
• Betriebssystem (zB aus /etc/os-release):
  NAME="CentOS-Linux"
  VERSION="7 (Kern)"
  ID="centos"
  ID_LIKE="Rhel-Fedora"
  VERSION_ID="7"
  PRETTY_NAME="CentOS Linux 7 (Kern)"
  ANSI_COLOR="0;31"
  CPE_NAME="cpe:/o: centos:centos :7"
  HOME_URL=" https://www.centos.org/ "
  BUG_REPORT_URL=" https://bugs.centos.org/ "

CENTOS_MANTISBT_PROJECT="CentOS-7"
CENTOS_MANTISBT_PROJECT_VERSION="7"
REDHAT_SUPPORT_PRODUCT="centos"
REDHAT_SUPPORT_PRODUCT_VERSION="7"

• Kernel (zB uname -a ):
  Linux kubem13.10.0-123.el7.x86_64 #1 SMP Mo 30. Juni 12:09:22 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux
• Andere :

Was ist passiert?

Wurffehler x509: Zertifikat von unbekannter Autorität signiert

Was haben Sie erwartet?

Muss kubeadm init ohne Fehler ausführen

Wie kann man es reproduzieren (so minimal und genau wie möglich)?

Müssen wir noch etwas wissen?

Ich habe Proxy in mehreren Dateien konfiguriert.

.bash_profile
/etc/umgebung
/etc/systemd/system/docker.service.d/http-proxy.conf

/etc/systemd/system/docker.service.d/http-proxy.conf

[Service]
Umgebung="HTTP_PROXY=http://:@:8080"
Umgebung="HTTPS_PROXY=https://:@:8080"
Umgebung="NO_PROXY=localhost,127.0.0.1,10.169.150.123"

/etc/umgebung

exportiere http_proxy="http://:@:8080"
exportieren https_proxy="https://:@:8080"
export HTTP_PROXY="http://:@:8080"
export HTTPS_PROXY="https://:@:8080"
export no_proxy="10.169.150.123,127.0.0.1,localhost"

IN Bash-Profil

export KUBECONFIG=/etc/kubernetes/admin.conf
exportiere http_proxy="http://:@:8080"
exportieren https_proxy="https://:@:8080"
export HTTP_PROXY="http://:@:8080"
export HTTPS_PROXY="https://:@:8080"
export no_proxy="10.169.150.123,127.0.0.1,localhost"

Die notwendigen Ports geöffnet

cat /etc/sysconfig/iptables

-A INPUT -p tcp -m Zustand --state NEW -m tcp --dport 6443 -j ACCEPT
-A INPUT -p tcp -m Zustand --state NEU -m tcp --dport 2379-2380 -j AKZEPTIEREN
-A INPUT -p tcp -m Zustand --state NEW -m tcp --dport 10250 -j ACCEPT
-A INPUT -p tcp -m Zustand --state NEW -m tcp --dport 10251 -j ACCEPT
-A INPUT -p tcp -m Zustand --state NEW -m tcp --dport 10252 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 10255 -j ACCEPT
-A INPUT -p tcp -m Zustand --state NEW -m tcp --dport 8080 -j ACCEPT

und die Firewall neu geladen.

AUCH mit Deaktivierung der Firewall überprüft.

Deaktiviert SELINUX

########Kommentiert KUBELET_NETWORK_ARGS

/etc/systemd/system/kubelet.service.d/10-kubeadm.conf

[Service]
Environment="KUBELET_KUBECONFIG_ARGS=--bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.conf --kubeconfig=/etc/kubernetes/kubelet.conf"
Environment="KUBELET_SYSTEM_PODS_ARGS=--pod-manifest-path=/etc/kubernetes/manifests --allow-privileged=true"

Environment="KUBELET_NETWORK_ARGS=--network-plugin=cni --cni-conf-dir=/etc/cni/net.d --cni-bin-dir=/opt/cni/bin"

Environment="KUBELET_DNS_ARGS=--cluster-dns=10.96.0.10 --cluster-domain=cluster.local"
Environment="KUBELET_AUTHZ_ARGS=--authorization-mode=Webhook --client-ca-file=/etc/kubernetes/pki/ca.crt"
Environment="KUBELET_CADVISOR_ARGS=--cadvisor-port=0"
Environment="KUBELET_CGROUP_ARGS=--cgroup-driver=systemd"
Environment="KUBELET_CERTIFICATE_ARGS=--rotate-certificates=true --cert-dir=/var/lib/kubelet/pki"
Environment="KUBELET_EXTRA_ARGS=--fail-swap-on=false"
AusführenStart=
ExecStart=/usr/bin/kubelet $KUBELET_KUBECONFIG_ARGS $KUBELET_SYSTEM_PODS_ARGS $KUBELET_DNS_ARGS $KUBELET_AUTHZ_ARGS $KUBELET_CADVISOR_ARGS $KUBELET_CGROUP_ARGS $KUBELET_CERTIFICATE_ARGS $KUGBELET

Wenn ich die Version übergebe,

[ root@kubem1 ~]# kubeadm init --kubernetes-version=v1.10.4
[init] Kubernetes-Version verwenden: v1.10.4
[init] Verwenden von Autorisierungsmodi: [Node RBAC]
[Preflight] Ausführen von Pre-Flight-Checks.
[WARNUNG HTTPProxyCIDR]: Verbindung zu "10.96.0.0/12" verwendet den Proxy "https:// * * * * ". Dies kann zu einem fehlerhaften Cluster-Setup führen. Stellen Sie sicher, dass die IP-Bereiche von Pod und Services als Ausnahmen in der Proxy-Konfiguration richtig angegeben sind
[Zertifikate] Generiertes CA-Zertifikat und -Schlüssel.
[Zertifikate] Generiertes Apiserver-Zertifikat und -Schlüssel.
[Zertifikate] Apiserver-Serving-Zertifikat ist für DNS-Namen signiert [kubem1kubernetes kubernetes.default kubernetes.default.svc kubernetes.default.svc.cluster.local] und IPs [10.96.0.1 10.169.150.123]
[Zertifikate] Generiertes apiserver-kubelet-client-Zertifikat und -Schlüssel.
[Zertifikate] Erzeugter sa-Schlüssel und öffentlicher Schlüssel.
[Zertifikate] Generiertes Front-Proxy-CA-Zertifikat und -Schlüssel.
[Zertifikate] Generiertes Front-Proxy-Client-Zertifikat und -Schlüssel.
[Zertifikate] Generiertes etcd/ca-Zertifikat und Schlüssel.
[Zertifikate] Generiertes etcd/Server-Zertifikat und Schlüssel.
[Zertifikate] etcd/Server Serving-Zertifikat ist für DNS-Namen [localhost] und IPs [127.0.0.1] signiert
[Zertifikate] Generiertes etcd/Peer-Zertifikat und Schlüssel.
[Zertifikate] etcd/Peer Serving-Zertifikat ist für DNS-Namen signiert [kubem1. * * ** ] und IPs [10.169.150.123]
[Zertifikate] Generiertes etcd/Healthcheck-Client-Zertifikat und -Schlüssel.
[Zertifikate] Generiertes apiserver-etcd-client-Zertifikat und -Schlüssel.
[Zertifikate] Gültige Zertifikate und Schlüssel existieren jetzt in "/etc/kubernetes/pki"
[kubeconfig] KubeConfig-Datei auf Datenträger geschrieben: "/etc/kubernetes/admin.conf"
[kubeconfig] KubeConfig-Datei auf Festplatte geschrieben: "/etc/kubernetes/kubelet.conf"
[kubeconfig] KubeConfig-Datei auf Datenträger geschrieben: "/etc/kubernetes/controller-manager.conf"
[kubeconfig] KubeConfig-Datei auf die Festplatte geschrieben: "/etc/kubernetes/scheduler.conf"
[controlplane] Static Pod-Manifest für die Komponente kube-apiserver in "/etc/kubernetes/manifests/kube-apiserver.yaml" geschrieben
[controlplane] Static Pod-Manifest für die Komponente kube-controller-manager in "/etc/kubernetes/manifests/kube-controller-manager.yaml" geschrieben
[controlplane] Static Pod-Manifest für die Komponente kube-scheduler in "/etc/kubernetes/manifests/kube-scheduler.yaml" geschrieben
[etcd] Static Pod-Manifest für eine lokale etcd-Instanz in "/etc/kubernetes/manifests/etcd.yaml" geschrieben
[init] Warten darauf, dass das Kubelet die Steuerungsebene als statische Pods aus dem Verzeichnis "/etc/kubernetes/manifests" hochfährt.
[init] Dies kann eine Minute oder länger dauern, wenn die Bilder der Steuerebene gezogen werden müssen.

#############IN Fehlerprotokoll

22. Juni 04:31:34 kubem1. * * * * kubelet[7275]: E0622 04:31:34.942572 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: Fehler beim Auflisten von *v1.Pod: https ://10.169.150.123 :6443/api/v1/pods?fieldSelector=spec.nodeName%3Dkubem1. * * * * &limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getockopt: Verbindung abgelehnt
22. Juni 04:31:35 kubem1. * * * * kubelet[7275]: E0622 04:31:35.888104 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: Fehler beim Auflisten *v1.Node: https:/ /10.169.150.123 :6443/api/v1/nodes?fieldSelector=metadata.name%3Dkubem1. * * * * &limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getockopt: Verbindung abgelehnt
22. Juni 04:31:35 kubem1. * * * * kubelet[7275]: E0622 04:31:35.888256 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: Fehler beim Auflisten *v1.Service: https:/ /10.169.150.123 :6443/api/v1/services?limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getsockopt: Verbindung abgelehnt
22. Juni 04:31:35 kubem1. * * * * kubelet[7275]: E0622 04:31:35.943992 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: Fehler beim Auflisten von v1.Pod: https abrufen * * * * &limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getockopt: Verbindung abgelehnt
22. Juni 04:31:36 kubem1. * * * * kubelet[7275]: E0622 04:31:36.889648 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: Fehler beim Auflisten *v1.Node: https:/ /10.169.150.123 :6443/api/v1/nodes?fieldSelector=metadata.name%3Dkubem1. * * * * &limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getockopt: Verbindung abgelehnt
22. Juni 04:31:36 kubem1. * * * * kubelet[7275]: E0622 04:31:36.891490 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: Fehler beim Auflisten *v1.Service: https:/ /10.169.150.123 :6443/api/v1/services?limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getsockopt: Verbindung abgelehnt
22. Juni 04:31:36 kubem1. * * * * kubelet[7275]: E0622 04:31:36.945185 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: Fehler beim Auflisten von v1.Pod: https abrufen * * * * &limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getockopt: Verbindung abgelehnt
22. Juni 04:31:37 kubem1. * * * * kubelet[7275]: E0622 04:31:37.890407 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: Fehler beim Auflisten *v1.Node: Get https:/ /10.169.150.123 :6443/api/v1/nodes?fieldSelector=metadata.name%3Dkubem1. * * * * &limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getockopt: Verbindung abgelehnt
22. Juni 04:31:37 kubem1. * * * * kubelet[7275]: E0622 04:31:37.891696 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: Fehler beim Auflisten *v1.Service: https:/ /10.169.150.123 :6443/api/v1/services?limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getsockopt: Verbindung abgelehnt
22. Juni 04:31:37 kubem1. * * * * kubelet[7275]: E0622 04:31:37.946023 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: Fehler beim Auflisten von v1.Pod: https abrufen * * * * &limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getockopt: Verbindung abgelehnt
22. Juni 04:31:38 kubem1. * * * * kubelet[7275]: E0622 04:31:38.121910 7275 eviction_manager.go:247] Räumungsmanager: Zusammenfassung der Statistiken konnte nicht abgerufen werden: Knoteninfo konnte nicht abgerufen werden: Knoten "kubem1. * * * * " nicht gefunden
22. Juni 04:31:38 kubem1. * * * * kubelet[7275]: E0622 04:31:38.892292 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: Fehler beim Auflisten *v1.Node: Get https:/ /10.169.150.123 :6443/api/v1/nodes?fieldSelector=metadata.name%3Dkubem1. * * * * &limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getockopt: Verbindung abgelehnt
22. Juni 04:31:38 kubem1. * * * * kubelet[7275]: E0622 04:31:38.894157 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: Fehler beim Auflisten *v1.Service: https:/ /10.169.150.123 :6443/api/v1/services?limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getsockopt: Verbindung abgelehnt
22. Juni 04:31:38 kubem1. * * * * kubelet[7275]: E0622 04:31:38.947002 7275 Reflektor.go:205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: Fehler beim Auflisten von v1.Pod: https abrufen * * * * &limit=500&resourceVersion=0: tcp wählen 10.169.150.123:6443: getockopt: Verbindung abgelehnt

auch /etc/resolve.conf hinzugefügt

[ root@kubem1 ~]# cat /etc/resolv.conf

Generiert von NetworkManager

Domäne <>

Suche <>

Nameserver <>

Nameserver <>

Nameserver 8.8.8.8
Nameserver 8.8.4.4

Soll ich dieser Datei einen Eintrag hinzufügen?

Soll ich irgendein Zertifikat importieren??

ICH BIN IN EINER PROXY-UMGEBUNG

Habe auch folgendes probiert,

kubeadm zurücksetzen
systemctl daemon-reload
systemctl docker.service neu starten
systemctl stop kubelet.service

Die folgenden Bilder konnten nicht durch das Docker gezogen werden.

docker pull k8s.gcr.io/kube-apiserver-amd64:v1.10.3
docker pull k8s.gcr.io/kube-controller-manager-amd64:v1.10.3
docker pull k8s.gcr.io/kube-scheduler-amd64:v1.10.3
Docker Pull k8s.gcr.io/etcd-amd64:3.1.12