Kubeadm: sertifikat yang ditandatangani oleh otoritas yang tidak dikenal --Jaringan Perusahaan - Proxy
Apakah ini permintaan bantuan?
YA
Kata kunci apa yang Anda cari di edisi kubeadm sebelum mengajukan yang ini?
x509: sertifikat yang ditandatangani oleh otoritas yang tidak dikenal -- DI DALAM JARINGAN PERUSAHAAN
Jika Anda menemukan duplikat, Anda harus membalas di sana dan menutup halaman ini.
Jika Anda belum menemukan duplikat, hapus bagian ini dan lanjutkan.
Apakah ini LAPORAN BUG atau PERMINTAAN FITUR?
Pilih salah satu: LAPORAN BUG atau PERMINTAAN FITUR
laporan bug
Versi
versi kubeadm (gunakan kubeadm version ): --1.10.4
kubeadm versi: &version.Info{Mayor:"1", Minor:"10", GitVersion:"v1.10.4", GitCommit:"5ca598b4ba5abb89bb773071ce452e33fb66339d", GitTreeState:"clean", BuildDate:"06-06T08:00: 59Z", GoVersion:"go1.9.3", Kompilator:"gc", Platform:"linux/amd64"}
Lingkungan :
- Versi Kubernetes (gunakan
kubectl version): - Penyedia cloud atau konfigurasi perangkat keras :
- OS (mis. dari /etc/os-release):
NAMA="CentOS Linux"
VERSI="7 (Inti)"
ID = "sento"
ID_LIKE="rhel fedora"
VERSION_ID="7"
PRETTY_NAME="CentOS Linux 7 (Inti)"
ANSI_COLOR="0;31"
CPE_NAME="cpe:/o: centos:centos :7"
HOME_URL=" https://www.centos.org/ "
BUG_REPORT_URL=" https://bugs.centos.org/ "
CENTOS_MANTISBT_PROJECT="CentOS-7"
CENTOS_MANTISBT_PROJECT_VERSION="7"
REDHAT_SUPPORT_PRODUCT="sento"
REDHAT_SUPPORT_PRODUCT_VERSION="7"
- Kernel (misalnya
uname -a):
Linux kubem13.10.0-123.el7.x86_64 #1 SMP Sen 30 Jun 12:09:22 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux - Lainnya :
Apa yang terjadi?
Kesalahan pelemparan x509: sertifikat ditandatangani oleh otoritas yang tidak dikenal
Apa yang Anda harapkan terjadi?
Perlu menjalankan kubeadm init tanpa kesalahan
Bagaimana cara mereproduksinya (seminimal dan setepat mungkin)?
Ada lagi yang perlu kita ketahui?
Saya telah mengonfigurasi proxy di beberapa file.
.bash_profile
/etc/environment
/etc/systemd/system/docker.service.d/http-proxy.conf
/etc/systemd/system/docker.service.d/http-proxy.conf
[Melayani]
Lingkungan="HTTP_PROXY=http://
Lingkungan="HTTPS_PROXY=https://
Lingkungan="NO_PROXY=localhost,127.0.0.11,10.169.150.123"
/etc/environment
ekspor http_proxy="http://
ekspor https_proxy="https://
ekspor HTTP_PROXY="http://
ekspor HTTPS_PROXY="https://
ekspor no_proxy="10.169.150.123,127.0.0.1,localhost"
DI Profil Bash
ekspor KUBECONFIG=/etc/kubernetes/admin.conf
ekspor http_proxy="http://
ekspor https_proxy="https://
ekspor HTTP_PROXY="http://
ekspor HTTPS_PROXY="https://
ekspor no_proxy="10.169.150.123,127.0.0.1,localhost"
Membuka port yang diperlukan
cat /etc/sysconfig/iptables
-A INPUT -p tcp -m state --state BARU -m tcp --dport 6443 -j MENERIMA
-A INPUT -p tcp -m state --state BARU -m tcp --dport 2379-2380 -j MENERIMA
-A INPUT -p tcp -m state --state BARU -m tcp --dport 10250 -j MENERIMA
-A INPUT -p tcp -m state --state BARU -m tcp --dport 10251 -j MENERIMA
-A INPUT -p tcp -m state --state BARU -m tcp --dport 10252 -j MENERIMA
-A INPUT -p tcp -m state --state BARU -m tcp --dport 10255 -j MENERIMA
-A INPUT -p tcp -m state --state BARU -m tcp --dport 8080 -j MENERIMA
dan memuat ulang firewall.
Juga diperiksa dengan menonaktifkan firewall.
Dinonaktifkan SELINUX
########Komentar KUBELET_NETWORK_ARGS
/etc/systemd/system/kubelet.service.d/10-kubeadm.conf
[Melayani]
Environment="KUBELET_KUBECONFIG_ARGS=--bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.conf --kubeconfig=/etc/kubernetes/kubelet.conf"
Environment="KUBELET_SYSTEM_PODS_ARGS=--pod-manifest-path=/etc/kubernetes/manifests --allow-privileged=true"
Environment="KUBELET_NETWORK_ARGS=--network-plugin=cni --cni-conf-dir=/etc/cni/net.d --cni-bin-dir=/opt/cni/bin"
Environment="KUBELET_DNS_ARGS=--cluster-dns=10.96.0.10 --cluster-domain=cluster.local"
Environment="KUBELET_AUTHZ_ARGS=--authorization-mode=Webhook --client-ca-file=/etc/kubernetes/pki/ca.crt"
Lingkungan="KUBELET_CADVISOR_ARGS=--cadvisor-port=0"
Lingkungan="KUBELET_CGROUP_ARGS=--cgroup-driver=systemd"
Environment="KUBELET_CERTIFICATE_ARGS=--rotate-certificates=true --cert-dir=/var/lib/kubelet/pki"
Lingkungan="KUBELET_EXTRA_ARGS=--fail-swap-on=false"
ExecStart=
ExecStart=/usr/bin/kubelet $KUBELET_KUBECONFIG_ARGS $KUBELET_SYSTEM_PODS_ARGS $KUBELET_DNS_ARGS $KUBELET_AUTHZ_ARGS $KUBELET_CADVISOR_ARGS $KUBELET_CGROUP_ARGS $KUBELET_CERTIFICATE_
Jika saya menjalankan dengan melewati versi,
[ root@kubem1 ~]# kubeadm init --kubernetes-version=v1.10.4
[init] Menggunakan versi Kubernetes: v1.10.4
[init] Menggunakan mode Otorisasi: [Node RBAC]
[preflight] Menjalankan pemeriksaan pra-penerbangan.
[PERINGATAN HTTPProxyCIDR]: koneksi ke "10.96.0.0/12" menggunakan proxy "https:// * * * * ". Hal ini dapat menyebabkan pengaturan cluster tidak berfungsi. Pastikan bahwa rentang IP Pod dan Layanan ditentukan dengan benar sebagai pengecualian dalam konfigurasi proxy
[sertifikat] Sertifikat dan kunci ca yang dihasilkan.
[sertifikat] Sertifikat dan kunci apiserver yang dihasilkan.
[sertifikat] sertifikat penyajian apiserver ditandatangani untuk nama DNS [kubem1
[sertifikat] Membuat sertifikat dan kunci apiserver-kubelet-client.
[sertifikat] Dihasilkan sa kunci dan kunci publik.
[sertifikat] Sertifikat dan kunci front-proxy-ca yang dihasilkan.
[sertifikat] Sertifikat dan kunci klien-proksi-depan yang dibuat.
[sertifikat] Sertifikat dan kunci etcd/ca yang dihasilkan.
[sertifikat] Membuat sertifikat dan kunci etcd/server.
[sertifikat] etcd/server servis cert ditandatangani untuk nama DNS [localhost] dan IP [127.0.0.1]
[sertifikat] Membuat sertifikat dan kunci etcd/peer.
[sertifikat] etcd/peer serve cert ditandatangani untuk nama DNS [kubem1. * * ** ] dan IP [10.169.150.123]
[sertifikat] Membuat sertifikat dan kunci etcd/healthcheck-client.
[sertifikat] Membuat sertifikat dan kunci apiserver-etcd-client.
[sertifikat] Sertifikat dan kunci yang valid sekarang ada di "/etc/kubernetes/pki"
[kubeconfig] Tulis file KubeConfig ke disk: "/etc/kubernetes/admin.conf"
[kubeconfig] Tulis file KubeConfig ke disk: "/etc/kubernetes/kubelet.conf"
[kubeconfig] Tulis file KubeConfig ke disk: "/etc/kubernetes/controller-manager.conf"
[kubeconfig] Tulis file KubeConfig ke disk: "/etc/kubernetes/scheduler.conf"
[controlplane] Tulis manifes Pod Statis untuk komponen kube-apiserver ke "/etc/kubernetes/manifests/kube-apiserver.yaml"
[controlplane] Menulis manifes Pod Statis untuk komponen kube-controller-manager ke "/etc/kubernetes/manifests/kube-controller-manager.yaml"
[controlplane] Tulis manifes Pod Statis untuk komponen kube-scheduler ke "/etc/kubernetes/manifests/kube-scheduler.yaml"
[etcd] Tulis manifes Pod Statis untuk instance etcd lokal ke "/etc/kubernetes/manifests/etcd.yaml"
[init] Menunggu kubelet mem-boot control plane sebagai Static Pods dari direktori "/etc/kubernetes/manifests".
[init] Ini mungkin memakan waktu satu menit atau lebih lama jika gambar bidang kontrol harus ditarik.
#############Masuk kesalahan log
22 Juni 04:31:34 kubem1. * * * * kubelet[7275]: E0622 04:31:34.942572 7275 reflector.go:205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: Gagal mendaftar *v1.Pod: Dapatkan https ://10.169.150.123 :6443/api/v1/pods?fieldSelector=spec.nodeName%3Dkubem1. * * * * &limit=500&resourceVersion=0: tekan tcp 10.169.150.123:6443: getockopt: koneksi ditolak
22 Juni 04:31:35 kubem1. * * * * kubelet[7275]: E0622 04:31:35.888104 7275 reflector.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: Gagal mendaftar *v1.Node: Dapatkan https:/ /10.169.150.123 :6443/api/v1/nodes?fieldSelector=metadata.name%3Dkubem1. * * * * &limit=500&resourceVersion=0: tekan tcp 10.169.150.123:6443: getockopt: koneksi ditolak
22 Juni 04:31:35 kubem1. * * * * kubelet[7275]: E0622 04:31:35.888256 7275 reflector.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: Gagal mendaftar *v1.Layanan: Dapatkan https:/ /10.169.150.123 :6443/api/v1/services?limit=500&resourceVersion=0: tekan tcp 10.169.150.123:6443: getockopt: koneksi ditolak
22 Juni 04:31:35 kubem1. * * * * kubelet[7275]: E0622 04:31:35.943992 7275 reflector.go:205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: Gagal membuat daftar v1.Pod: Dapatkan https: //10.169.150.123 :6443/api/v1/pods?fieldSelector=spec.nodeName%3Dkubem1. * * * * &limit=500&resourceVersion=0: tekan tcp 10.169.150.123:6443: getockopt: koneksi ditolak
22 Juni 04:31:36 kubem1. * * * * kubelet[7275]: E0622 04:31:36.889648 7275 reflector.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: Gagal mendaftar *v1.Node: Dapatkan https:/ /10.169.150.123 :6443/api/v1/nodes?fieldSelector=metadata.name%3Dkubem1. * * * * &limit=500&resourceVersion=0: tekan tcp 10.169.150.123:6443: getockopt: koneksi ditolak
22 Juni 04:31:36 kubem1. * * * * kubelet[7275]: E0622 04:31:36.891490 7275 reflector.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: Gagal mendaftar *v1.Layanan: Dapatkan https:/ /10.169.150.123 :6443/api/v1/services?limit=500&resourceVersion=0: tekan tcp 10.169.150.123:6443: getockopt: koneksi ditolak
22 Juni 04:31:36 kubem1. * * * * kubelet[7275]: E0622 04:31:36.945185 7275 reflector.go:205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: Gagal membuat daftar v1.Pod: Dapatkan https: //10.169.150.123 :6443/api/v1/pods?fieldSelector=spec.nodeName%3Dkubem1. * * * * &limit=500&resourceVersion=0: tekan tcp 10.169.150.123:6443: getockopt: koneksi ditolak
22 Juni 04:31:37 kubem1. * * * * kubelet[7275]: E0622 04:31:37.890407 7275 reflector.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: Gagal mendaftar *v1.Node: Dapatkan https:/ /10.169.150.123 :6443/api/v1/nodes?fieldSelector=metadata.name%3Dkubem1. * * * * &limit=500&resourceVersion=0: tekan tcp 10.169.150.123:6443: getockopt: koneksi ditolak
22 Juni 04:31:37 kubem1. * * * * kubelet[7275]: E0622 04:31:37.891696 7275 reflector.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: Gagal mendaftar *v1.Layanan: Dapatkan https:/ /10.169.150.123 :6443/api/v1/services?limit=500&resourceVersion=0: tekan tcp 10.169.150.123:6443: getockopt: koneksi ditolak
22 Juni 04:31:37 kubem1. * * * * kubelet[7275]: E0622 04:31:37.946023 7275 reflector.go:205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: Gagal membuat daftar v1.Pod: Dapatkan https: //10.169.150.123 :6443/api/v1/pods?fieldSelector=spec.nodeName%3Dkubem1. * * * * &limit=500&resourceVersion=0: tekan tcp 10.169.150.123:6443: getockopt: koneksi ditolak
22 Juni 04:31:38 kubem1. * * * * kubelet[7275]: E0622 04:31:38.121910 7275 eviction_manager.go:247] eviction manager: gagal mendapatkan ringkasan statistik: gagal mendapatkan info simpul: simpul "kubem1. * * * * " tidak ditemukan
22 Juni 04:31:38 kubem1. * * * * kubelet[7275]: E0622 04:31:38.892292 7275 reflector.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:461: Gagal mendaftar *v1.Node: Dapatkan https:/ /10.169.150.123 :6443/api/v1/nodes?fieldSelector=metadata.name%3Dkubem1. * * * * &limit=500&resourceVersion=0: tekan tcp 10.169.150.123:6443: getockopt: koneksi ditolak
22 Juni 04:31:38 kubem1. * * * * kubelet[7275]: E0622 04:31:38.894157 7275 reflector.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:452: Gagal mendaftar *v1.Layanan: Dapatkan https:/ /10.169.150.123 :6443/api/v1/services?limit=500&resourceVersion=0: tekan tcp 10.169.150.123:6443: getockopt: koneksi ditolak
22 Juni 04:31:38 kubem1. * * * * kubelet[7275]: E0622 04:31:38.947002 7275 reflector.go:205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: Gagal membuat daftar v1.Pod: Dapatkan https: //10.169.150.123 :6443/api/v1/pods?fieldSelector=spec.nodeName%3Dkubem1. * * * * &limit=500&resourceVersion=0: tekan tcp 10.169.150.123:6443: getockopt: koneksi ditolak
juga menambahkan /etc/resolve.conf
[ root@kubem1 ~]# cat /etc/resolv.conf
Dibuat oleh NetworkManager
domain <>
cari <>
server nama <>
server nama <>
server nama 8.8.8.8
server nama 8.8.4.4
Haruskah saya menambahkan entri dalam file ini??
Haruskah saya mengimpor sertifikat apa pun??
SAYA DI LINGKUNGAN PROXY
Juga Mencoba di bawah ini,
reset kubeadm
systemctl daemon-reload
systemctl restart docker.service
systemctl stop kubelet.service
Gambar di bawah ini tidak dapat ditarik melalui buruh pelabuhan.
buruh pelabuhan tarik k8s.gcr.io/kube-apiserver-amd64:v1.10.3
buruh pelabuhan tarik k8s.gcr.io/kube-controller-manager-amd64:v1.10.3
buruh pelabuhan tarik k8s.gcr.io/kube-scheduler-amd64:v1.10.3
buruh pelabuhan tarik k8s.gcr.io/etcd-amd64:3.1.12
RakeshNagarajan
Semua 4 komentar
Di sini saya dapat melihat spec.nodeName=kubem1.***************** , yang tampaknya merupakan FQDN yang telah diedit. Di sisi lain, dalam konfigurasi DNS Anda, Anda tampaknya tidak memiliki domain dan arahan pencarian .
Apakah server DNS Google bahkan diizinkan di jaringan Anda? Anda mungkin harus menghubungi admin jaringan lokal Anda untuk informasi lebih lanjut tentang itu.
Lebih jauh lagi, jika docker pull gagal untuk Anda, mungkin karena masalah DNS. Apa kesalahan docker pull gagal?
k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: Failed to list v1.Pod: Get https://10.169.150.123:6443/api/v1/pods?fieldSelector=spec.nodeName%3Dkubem1.*****************&limit=500&resourceVersion=0: dial tcp 10.169.150.123:6443: getsockopt: connection refused
rosti
pada 25 Jun 2018
Saya telah mengedit ini untuk diposting di github 'spec.nodeName=kubem1. * * * * * '
Google DNS tidak diperbolehkan di jaringan kami.
Docker pull berfungsi untuk sisa gambar, tetapi menarik "docker pull k8s.gcr.io/kube-apiserver-AMD64:v1.10.3" tidak berfungsi.
Tolong beri tahu saya jika saya perlu melakukan modifikasi pada file konfigurasi.
RakeshNagarajan
pada 26 Jun 2018
/assign @liztio
timothysc
pada 3 Jul 2018
Menutup masalah ini karena kurangnya instruksi reproduksi yang solid.
Silakan buka kembali jika masih ada masalah.
timothysc
pada 30 Agu 2018
Masalah terkait
andersla
·
4Komentar
ep4eg
·
3Komentar
yagonobre
·
4Komentar
luxas
·
3Komentar
imedaouidene
·
3Komentar
Komentar yang paling membantu
Di sini saya dapat melihat
spec.nodeName=kubem1.*****************, yang tampaknya merupakan FQDN yang telah diedit. Di sisi lain, dalam konfigurasi DNS Anda, Anda tampaknya tidak memiliki domain dan arahan pencarian .Apakah server DNS Google bahkan diizinkan di jaringan Anda? Anda mungkin harus menghubungi admin jaringan lokal Anda untuk informasi lebih lanjut tentang itu.
Lebih jauh lagi, jika
docker pullgagal untuk Anda, mungkin karena masalah DNS. Apa kesalahandocker pullgagal?