Kubeadm: 1.10으로 Kubeadm 업데이트가 ha k8s / etcd 클러스터에서 실패 함

에 만든 2018년 05월 20일 · 13코멘트 · 출처: kubernetes/kubeadm

버그 보고서

버전

kubeadm 버전 : 1.10.2

환경 :

Kubernetes 버전 : 1.9.3
클라우드 공급자 또는 하드웨어 구성 : 3 x k8s 마스터 HA
운영체제 : RHEL7
커널 : 3.10.0-693.11.6.el7.x86_64

어떻게 된 거예요?

몇 달 전에 저는 '공식'문서 https://kubernetes.io/docs/setup/independent/high-availability/에 따라 kubeadm 1.9.3 사용하여 kubernetes 1.9.3 HA 클러스터를 만들었습니다. etcd 정적 포드를 사용하여 마스터 노드에서 호스팅하는 HA 클러스터

최신 kubeadm 사용하여 클러스터를 k8s 1.10.2 로 업그레이드하고 싶었습니다. kubeadm 을 업데이트 한 후 kubeadm upgrade plan 실행할 때 다음 오류가 발생했습니다.

[root@shared-cob-01 tmp]# kubeadm upgrade plan
[preflight] Running pre-flight checks.
[upgrade] Making sure the cluster is healthy:
[upgrade/config] Making sure the configuration is correct:
[upgrade/config] Reading configuration from the cluster...
[upgrade/config] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml'
[upgrade/plan] computing upgrade possibilities
[upgrade] Fetching available versions to upgrade to
[upgrade/versions] Cluster version: v1.9.3
[upgrade/versions] kubeadm version: v1.10.2
[upgrade/versions] Latest stable version: v1.10.2
[upgrade/versions] FATAL: context deadline exceeded

문제를 조사한 결과 두 가지 근본 원인을 찾았습니다.

1) `kubeadm` 는 `etcd` 클러스터를 TLS 활성화로 식별하지 않습니다.

가이드는 etcd 정적 포드에서 다음 명령을 사용하도록 지시합니다.

- etcd --name <name> \
  - --data-dir /var/lib/etcd \
  - --listen-client-urls http://localhost:2379 \
  - --advertise-client-urls http://localhost:2379 \
  - --listen-peer-urls http://localhost:2380 \
  - --initial-advertise-peer-urls http://localhost:2380 \
  - --cert-file=/certs/server.pem \
  - --key-file=/certs/server-key.pem \
  - --client-cert-auth \
  - --trusted-ca-file=/certs/ca.pem \
  - --peer-cert-file=/certs/peer.pem \
  - --peer-key-file=/certs/peer-key.pem \
  - --peer-client-cert-auth \
  - --peer-trusted-ca-file=/certs/ca.pem \
  - --initial-cluster etcd0=https://<etcd0-ip-address>:2380,etcd1=https://<etcd1-ip-address>:2380,etcd2=https://<etcd2-ip-address>:2380 \
  - --initial-cluster-token my-etcd-token \
  - --initial-cluster-state new

kubeadm >= 1.10 검사 (여기 : https://github.com/kubernetes/kubernetes/blob/release-1.10/cmd/kubeadm/app/util/etcd/etcd.go#L56) if etcd 는 정적 pod 명령어에 다음 플래그가 있는지 확인하여 TLS를 활성화합니다.

"--cert-file=",
"--key-file=",
"--trusted-ca-file=",
"--client-cert-auth=",
"--peer-cert-file=",
"--peer-key-file=",
"--peer-trusted-ca-file=",
"--peer-client-cert-auth=",

그러나 --client-cert-auth 및 --peer-client-cert-auth 플래그가 매개 변수없이 지침에 사용되었으므로 (부울) kubeadm 는 etcd 클러스터가 TLS를 갖는 것을 인식하지 못했습니다. 활성화되었습니다.

개인 수정 :
- --client-cert-auth=true 및 - --peer-client-cert-auth=true 를 사용하도록 etcd static pod 명령을 업데이트했습니다.

일반 수정 :
--client-cert-auth=true 및 --peer-client-cert-auth=true 를 사용하도록 지침을 업데이트하고 "--peer-cert-file" 및 "--peer-key-file" (등호 제외)를 사용하여 kubeadm 검사를 완화합니다.

2) `kubeadm` 에서 올바른 인증서를 사용하지 않았습니다.

포인트 1을 수정 한 후에도 kubeadm 에서 올바른 인증서를 사용하지 않기 때문에 문제가 계속 발생했습니다.
kubeadm HA 가이드를 따르면 실제로 생성 된 인증서는 ca.pem ca-key.pem peer.pem peer-key.pem client.pem client-key.pem 하지만 최신 kubeadm ca.crt ca.key``peer.crt peer.key``healthcheck-client.crt healthcheck-client.key 합니다.
kubeadm-config MasterConfiguration 키 etcd.caFile , etcd.certFile 및 etcd.keyFile 은 무시됩니다.

개인 수정 :
.pem 인증서의 이름을 .crt 및 .key 상응하는 것으로 변경하고이를 사용하도록 etcd 정적 포드 구성을 업데이트했습니다.

일반 수정 :
kubeadm-config data.caFile , data.certFile 및 data.keyFile 값을 사용하고 etcd 정적 포드 정의 (포드 경로 + 볼륨 hostPath)에서 올바른 인증서를 유추하거나 생성합니다. 업그레이드 중에 사용할 새 임시 클라이언트 인증서.

무슨 일이 일어나기를 기대 했습니까?

업그레이드 계획이 올바르게 실행되어야합니다.

그것을 재현하는 방법 (가능한 한 최소한으로 정확하게)?

https://kubernetes.io/docs/setup/independent/high-availability/에 따라 kubeadm 1.9.3 사용하여 k8s ha 클러스터를 만들고 최신 kubeadm 사용하여 k8s >= 1.10 로 업데이트 해보십시오. kubeadm

areHA areUX areupgrades documentatioimprovement kinbug prioritimportant-soon

출처

brokenmass

모든 13 댓글

이 문제는 kubeadm 1.10.3 에서 수정 된 것으로 보이지만 정적 etcd 포드가 '외부'로 인식되기 때문에 자동으로 업데이트되지는 않습니다.

brokenmass 에 2018년 05월 22일

kubeadm 1.10.3 하고 있으며 동일한 문제가 있습니다. 내 클러스터는 외부 보안 etcd가있는 1.10.2입니다.

FloMedja 에 2018년 05월 22일

@brokenmass 두 번째 원인에 대한 보 입니까?

  caFile: /etc/kubernetes/pki/etcd/ca.crt
  certFile: /etc/kubernetes/pki/etcd/healthcheck-client.crt
  keyFile: /etc/kubernetes/pki/etcd/healthcheck-client.key

FloMedja 에 2018년 05월 22일

@detiber 제발 도와 주시겠습니까?

FloMedja 에 2018년 05월 22일

뿡뿡
제 경우에는 값이 다음과 같습니다.

  caFile: /etc/kubernetes/pki/etcd/ca.pem
  certFile: /etc/kubernetes/pki/etcd/client.pem
  keyFile: /etc/kubernetes/pki/etcd/client-key.pem

1.10.3이 올바르게 작동합니다.

brokenmass 에 2018년 05월 23일

@brokenmass 따라서 kubeadm 1.10.3을 사용하면 개인 정보를 수정할 필요없이 모든 것이 작동합니다. 이 경우 나는 약간 혼란 스럽습니다. kubeadm 1.10.3이 있지만이 버그 보고서에서 언급 한 것과 동일한 오류 메시지가 있습니다. 내 구성을 다시 확인하겠습니다. 다른 곳에서 실수를 할 수 있습니다.

FloMedja 에 2018년 05월 23일

kubeadm-config, etcd static pods yml 및 kubeadm upgrade plan 의 전체 출력을 여기에 추가 (또는 kubernetes slack에 가입하고 직접 메시지 보내기)

brokenmass 에 2018년 05월 23일

죄송합니다. 방금 이걸보고 있습니다. @chuckha 는 static-pod HA etcd 문서에 대한 원래 작업을 수행했습니다. 앞으로 며칠 동안 그와 함께 작업하여 HA 업그레이드를 바로 잡을 수 있는지 확인하겠습니다.

detiber 에 2018년 05월 24일

👍1

@detiber 감사합니다. 업그레이드 계획이 마침내 작동합니다. 하지만 클러스터를 업그레이드하려고 할 때 일부 경쟁 조건 문제에 직면합니다. 때때로 그것은 때때로 작동합니다. kubernetes / kubeadm / issues / 850 과 같은 오류가 발생합니다. 한 노드에서 포드를 다시 시작하려고하면 kubeadm이 경합 상태로 실행됩니다.

FloMedja 에 2018년 05월 24일

오늘 이것에 대한 테스트 환경 설정을 얻는 데 약간의 걸림돌이 생겼고 주말이 시작되기 전에 시간이 부족합니다. 다음 주 초에 다시 연락 드리겠습니다.

detiber 에 2018년 05월 25일

👍1

/ 할당 @chuckha @detiber

timothysc 에 2018년 05월 25일

@chuckha @detiber @stealthybox 이것에 대한 업데이트가 있습니까?

luxas 에 2018년 06월 12일

따라서 1.9-> 1.10 HA 업그레이드는 지원되거나 검증 된 경로가 아닙니다.

우리는 현재 1.11-> 1.12에 대한 유지 관리 문서를 업데이트하는 중이며 앞으로도 계속 유지할 계획입니다.

timothysc 에 2018년 08월 29일

😕1

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Kubeadm: 1.10으로 Kubeadm 업데이트가 ha k8s / etcd 클러스터에서 실패 함

버그 보고서

버전

어떻게 된 거예요?

1) kubeadm 는 etcd 클러스터를 TLS 활성화로 식별하지 않습니다.

2) kubeadm 에서 올바른 인증서를 사용하지 않았습니다.

무슨 일이 일어나기를 기대 했습니까?

그것을 재현하는 방법 (가능한 한 최소한으로 정확하게)?

모든 13 댓글

관련 문제

1) `kubeadm` 는 `etcd` 클러스터를 TLS 활성화로 식별하지 않습니다.

2) `kubeadm` 에서 올바른 인증서를 사용하지 않았습니다.