SÍ
x509: certificado firmado por una autoridad desconocida - DENTRO DE LA RED CORPORATIVA
Si ha encontrado duplicados, debe responder allí y cerrar esta página.
Si no ha encontrado ningún duplicado, elimine esta sección y continúe.
Elija uno: INFORME DE ERROR o SOLICITUD DE FUNCIÓN
informe de error
versión kubeadm (use kubeadm version
): --1.10.4
kubeadm version: & version.Info {Major: "1", Minor: "10", GitVersion: "v1.10.4", GitCommit: "5ca598b4ba5abb89bb773071ce452e33fb66339d", GitTreeState: "clean", BuildDate: "2018-06T08: 00 59Z ", GoVersion:" go1.9.3 ", Compilador:" gc ", Plataforma:" linux / amd64 "}
Medio ambiente :
kubectl version
):CENTOS_MANTISBT_PROJECT = "CentOS-7"
CENTOS_MANTISBT_PROJECT_VERSION = "7"
REDHAT_SUPPORT_PRODUCT = "centos"
REDHAT_SUPPORT_PRODUCT_VERSION = "7"
uname -a
):Lanzamiento de error x509: certificado firmado por una autoridad desconocida
Necesita ejecutar kubeadm init sin ningún error
He configurado el proxy en varios archivos.
.bash_profile
/ etc / environment
/etc/systemd/system/docker.service.d/http-proxy.conf
/etc/systemd/system/docker.service.d/http-proxy.conf
[Servicio]
Entorno = "HTTP_PROXY = http: //
Entorno = "HTTPS_PROXY = https: //
Entorno = "NO_PROXY = localhost, 127.0.0.1,10.169.150.123"
/ etc / environment
exportar http_proxy = "http: //
exportar https_proxy = "https: //
exportar HTTP_PROXY = "http: //
exportar HTTPS_PROXY = "https: //
export no_proxy = "10.169.150.123,127.0.0.1, localhost"
IN Bash Profile
exportar KUBECONFIG = / etc / kubernetes / admin.conf
exportar http_proxy = "http: //
exportar https_proxy = "https: //
exportar HTTP_PROXY = "http: //
exportar HTTPS_PROXY = "https: //
export no_proxy = "10.169.150.123,127.0.0.1, localhost"
cat / etc / sysconfig / iptables
-A ENTRADA -p tcp -m estado --state NUEVO -m tcp --dport 6443 -j ACEPTAR
-A ENTRADA -p tcp -m estado --state NUEVO -m tcp --dport 2379-2380 -j ACEPTAR
-A ENTRADA -p tcp -m estado --state NUEVO -m tcp --dport 10250 -j ACEPTAR
-A ENTRADA -p tcp -m estado --state NUEVO -m tcp --dport 10251 -j ACEPTAR
-A ENTRADA -p tcp -m estado --state NUEVO -m tcp --dport 10252 -j ACEPTAR
-A ENTRADA -p tcp -m estado --state NUEVO -m tcp --dport 10255 -j ACEPTAR
-A ENTRADA -p tcp -m estado --state NUEVO -m tcp --dport 8080 -j ACEPTAR
y recargó el cortafuegos.
TAMBIÉN comprobado con la desactivación del cortafuegos.
SELINUX discapacitado
/etc/systemd/system/kubelet.service.d/10-kubeadm.conf
[Servicio]
Entorno = "KUBELET_KUBECONFIG_ARGS = - bootstrap-kubeconfig = / etc / kubernetes / bootstrap-kubelet.conf --kubeconfig = / etc / kubernetes / kubelet.conf"
Entorno = "KUBELET_SYSTEM_PODS_ARGS = - pod-manifest-path = / etc / kubernetes / manifests --allow-privileged = true"
Entorno = "KUBELET_DNS_ARGS = - cluster-dns = 10.96.0.10 --cluster-domain = cluster.local"
Entorno = "KUBELET_AUTHZ_ARGS = - modo de autorización = Webhook --client-ca-file = / etc / kubernetes / pki / ca.crt"
Entorno = "KUBELET_CADVISOR_ARGS = - ca went-port = 0"
Entorno = "KUBELET_CGROUP_ARGS = - cgroup-driver = systemd"
Entorno = "KUBELET_CERTIFICATE_ARGS = - rotate -ificates = true --cert-dir = / var / lib / kubelet / pki"
Entorno = "KUBELET_EXTRA_ARGS = - fail-swap-on = false"
ExecStart =
ExecStart = / usr / bin / kubelet $ KUBELET_KUBECONFIG_ARGS $ KUBELET_SYSTEM_PODS_ARGS $ KUBELET_DNS_ARGS $ KUBELET_AUTHZ_ARGS $ KUBELET_CADVISOR_ARGS $ KUBELET_CADVISOR_ARGS $ KUBELET_ARGET_CGERGS
Si corro pasando la versión,
[ root @ kubem1 ~] # kubeadm init --kubernetes-version = v1.10.4
[init] Con la versión de Kubernetes: v1.10.4
[init] Uso de modos de autorización: [Node RBAC]
[Prevuelo] Ejecución de comprobaciones previas al vuelo.
[ADVERTENCIA HTTPProxyCIDR]: la conexión a "10.96.0.0/12" utiliza el proxy "https: // * * * * ". Esto puede provocar un mal funcionamiento de la configuración del clúster. Asegúrese de que los rangos de IP de Pod y Servicios se hayan especificado correctamente como excepciones en la configuración del proxy
[certificados] Certificado ca y clave generados.
[certificados] Certificado y clave de apiserver generados.
[Certificados] Un certificado de servicio de servidor está firmado para nombres DNS [kubem1
[certificados] Certificado y clave de apiserver-kubelet-client generados.
[certificados] Generado clave sa y clave pública.
[certificados] Certificado y clave generados por front-proxy-ca.
[certificados] Certificado y clave generados del cliente de proxy frontal.
[certificados] Certificado y clave etcd / ca generados.
[certificados] Certificado y clave de servidor / etcd generados.
[certificados] etcd / servidor que sirve el certificado está firmado para nombres DNS [localhost] e IP [127.0.0.1]
[certificados] Certificado y clave etcd / peer generados.
[certificados] etcd / peer serve cert está firmado para nombres DNS [kubem1. * * ** ] y direcciones IP [10.169.150.123]
[certificados] Certificado y clave etcd / healthcheck-client generados.
[certificados] Certificado y clave de apiserver-etcd-client generados.
[certificados] Los certificados y claves válidos ahora existen en "/ etc / kubernetes / pki"
[kubeconfig] Escribió el archivo KubeConfig en el disco: "/etc/kubernetes/admin.conf"
[kubeconfig] Escribió el archivo KubeConfig en el disco: "/etc/kubernetes/kubelet.conf"
[kubeconfig] Escribió el archivo KubeConfig en el disco: "/etc/kubernetes/controller-manager.conf"
[kubeconfig] Escribió el archivo KubeConfig en el disco: "/etc/kubernetes/scheduler.conf"
[controlplane] Escribió el manifiesto de Static Pod para el componente kube-apiserver en "/etc/kubernetes/manifests/kube-apiserver.yaml"
[controlplane] Escribió el manifiesto de Static Pod para el componente kube-controller-manager en "/etc/kubernetes/manifests/kube-controller-manager.yaml"
[controlplane] Escribió el manifiesto de Static Pod para el componente kube-Scheduler en "/etc/kubernetes/manifests/kube-scheduler.yaml"
[etcd] Escribió el manifiesto de Static Pod para una instancia local de etcd en "/etc/kubernetes/manifests/etcd.yaml"
[init] Esperando que kubelet inicie el plano de control como Static Pods desde el directorio "/ etc / kubernetes / manifests".
[init] Esto puede tardar un minuto o más si es necesario extraer las imágenes del plano de control.
22 de junio 04:31:34 kubem1. * * * * kubelet [7275]: E0622 04: 31: 34.942572 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: No se pudo enumerar * v1.Pod: Obtener https : //10.169.150.123 : 6443 / api / v1 / pods? FieldSelector = spec.nodeName% 3Dkubem1. * * * * & limit = 500 & resourceVersion = 0: marque tcp 10.169.150.123:6443: getsockopt: conexión rechazada
22 de junio 04:31:35 kubem1. * * * * kubelet [7275]: E0622 04: 31: 35.888104 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: No se pudo enumerar * v1.Node: Obtener https: / /10.169.150.123 : 6443 / api / v1 / nodes? FieldSelector = metadata.name% 3Dkubem1. * * * * & limit = 500 & resourceVersion = 0: marque tcp 10.169.150.123:6443: getsockopt: conexión rechazada
22 de junio 04:31:35 kubem1. * * * * kubelet [7275]: E0622 04: 31: 35.888256 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: No se pudo enumerar * v1.Servicio: Obtenga https: / /10.169.150.123 : 6443 / api / v1 / services? Limit = 500 & resourceVersion = 0: marque tcp 10.169.150.123:6443: getsockopt: conexión rechazada
22 de junio 04:31:35 kubem1. * * * * kubelet [7275]: E0622 04: 31: 35.943992 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: No se pudo enumerar v1.Pod: Obtenga https: //10.169.150.123 : 6443 / api / v1 / pods? FieldSelector = spec.nodeName% 3Dkubem1. * * * * & limit = 500 & resourceVersion = 0: marque tcp 10.169.150.123:6443: getsockopt: conexión rechazada
22 de junio 04:31:36 kubem1. * * * * kubelet [7275]: E0622 04: 31: 36.889648 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: No se pudo enumerar * v1.Node: Obtener https: / /10.169.150.123 : 6443 / api / v1 / nodes? FieldSelector = metadata.name% 3Dkubem1. * * * * & limit = 500 & resourceVersion = 0: marque tcp 10.169.150.123:6443: getsockopt: conexión rechazada
22 de junio 04:31:36 kubem1. * * * * kubelet [7275]: E0622 04: 31: 36.891490 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: No se pudo enumerar * v1.Servicio: Obtenga https: / /10.169.150.123 : 6443 / api / v1 / services? Limit = 500 & resourceVersion = 0: marque tcp 10.169.150.123:6443: getsockopt: conexión rechazada
22 de junio 04:31:36 kubem1. * * * * kubelet [7275]: E0622 04: 31: 36.945185 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: No se pudo listar v1.Pod: Obtenga https: //10.169.150.123 : 6443 / api / v1 / pods? FieldSelector = spec.nodeName% 3Dkubem1. * * * * & limit = 500 & resourceVersion = 0: marque tcp 10.169.150.123:6443: getsockopt: conexión rechazada
22 de junio 04:31:37 kubem1. * * * * kubelet [7275]: E0622 04: 31: 37.890407 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: No se pudo enumerar * v1.Node: Obtener https: / /10.169.150.123 : 6443 / api / v1 / nodes? FieldSelector = metadata.name% 3Dkubem1. * * * * & limit = 500 & resourceVersion = 0: marque tcp 10.169.150.123:6443: getsockopt: conexión rechazada
22 de junio 04:31:37 kubem1. * * * * kubelet [7275]: E0622 04: 31: 37.891696 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: No se pudo enumerar * v1.Servicio: Obtenga https: / /10.169.150.123 : 6443 / api / v1 / services? Limit = 500 & resourceVersion = 0: marque tcp 10.169.150.123:6443: getsockopt: conexión rechazada
22 de junio 04:31:37 kubem1. * * * * kubelet [7275]: E0622 04: 31: 37.946023 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: No se pudo listar v1.Pod: Obtenga https: //10.169.150.123 : 6443 / api / v1 / pods? FieldSelector = spec.nodeName% 3Dkubem1. * * * * & limit = 500 & resourceVersion = 0: marque tcp 10.169.150.123:6443: getsockopt: conexión rechazada
22 de junio 04:31:38 kubem1. * * * * kubelet [7275]: E0622 04: 31: 38.121910 7275 eviction_manager.go: 247] administrador de desalojo: no se pudo obtener el resumen de estadísticas: no se pudo obtener la información del nodo: el nodo "kubem1. * * * * " no se encontró
22 de junio 04:31:38 kubem1. * * * * kubelet [7275]: E0622 04: 31: 38.892292 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: No se pudo enumerar * v1.Node: Obtener https: / /10.169.150.123 : 6443 / api / v1 / nodes? FieldSelector = metadata.name% 3Dkubem1. * * * * & limit = 500 & resourceVersion = 0: marque tcp 10.169.150.123:6443: getsockopt: conexión rechazada
22 de junio 04:31:38 kubem1. * * * * kubelet [7275]: E0622 04: 31: 38.894157 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: No se pudo enumerar * v1.Servicio: Obtenga https: / /10.169.150.123 : 6443 / api / v1 / services? Limit = 500 & resourceVersion = 0: marque tcp 10.169.150.123:6443: getsockopt: conexión rechazada
22 de junio 04:31:38 kubem1. * * * * kubelet [7275]: E0622 04: 31: 38.947002 7275 reflector.go: 205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: No se pudo listar v1.Pod: Obtenga https: //10.169.150.123 : 6443 / api / v1 / pods? FieldSelector = spec.nodeName% 3Dkubem1. * * * * & limit = 500 & resourceVersion = 0: marque tcp 10.169.150.123:6443: getsockopt: conexión rechazada
también se agregó /etc/resolve.conf
[ root @ kubem1 ~] # cat /etc/resolv.conf
servidor de nombres 8.8.8.8
servidor de nombres 8.8.4.4
¿Debo agregar alguna entrada en este archivo?
¿Debo importar algún certificado?
ESTOY EN ENTORNO PROXY
También probé lo siguiente,
reinicio de kubeadm
systemctl daemon-reload
systemctl reiniciar docker.service
systemctl stop kubelet.service
Las siguientes imágenes no pudieron pasar a través de la ventana acoplable.
docker pull k8s.gcr.io/kube-apiserver-amd64:v1.10.3
docker pull k8s.gcr.io/kube-controller-manager-amd64:v1.10.3
docker pull k8s.gcr.io/kube-scheduler-amd64:v1.10.3
docker pull k8s.gcr.io/etcd-amd64:3.1.12
Aquí puedo ver spec.nodeName=kubem1.*****************
, que parece ser un FQDN editado. Por otro lado, en su configuración de DNS, parece que no tiene directivas de búsqueda y dominio .
¿Están permitidos los servidores DNS de Google en su red? Es posible que deba comunicarse con el administrador de su red local para obtener más información al respecto.
Además, si docker pull
le falla, puede deberse a problemas de DNS. ¿Cuál es el error con el que docker pull
está fallando?
k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: Failed to list v1.Pod: Get https://10.169.150.123:6443/api/v1/pods?fieldSelector=spec.nodeName%3Dkubem1.*****************&limit=500&resourceVersion=0: dial tcp 10.169.150.123:6443: getsockopt: connection refused
He editado esto para publicarlo en github 'spec.nodeName = kubem1. * * * * * '
El DNS de Google no está permitido en nuestra red.
Docker pull funciona para el resto de las imágenes, pero la extracción de "docker pull k8s.gcr.io/kube-apiserver-amd64:v1.10.3" no funciona.
Por favor, avíseme si necesito hacer alguna modificación en el archivo de configuración.
/ asignar @liztio
Cerrando este problema debido a la falta de instrucciones sólidas sobre el reproductor.
Vuelva a abrir si persiste el problema.
Comentario más útil
Aquí puedo ver
spec.nodeName=kubem1.*****************
, que parece ser un FQDN editado. Por otro lado, en su configuración de DNS, parece que no tiene directivas de búsqueda y dominio .¿Están permitidos los servidores DNS de Google en su red? Es posible que deba comunicarse con el administrador de su red local para obtener más información al respecto.
Además, si
docker pull
le falla, puede deberse a problemas de DNS. ¿Cuál es el error con el quedocker pull
está fallando?