Kubeadm: CoreDNS가 k8s 1.11 및 weave(CentOS 7)에서 시작되지 않음

에 만든 2018년 07월 17일 · 33코멘트 · 출처: kubernetes/kubeadm

이것은 버그 보고서입니까 아니면 기능 요청입니까?

버그 보고

버전

kubeadm 버전 1.11

환경 :

Kubernetes 버전 ( kubectl version 사용): 1.11
클라우드 공급자 또는 하드웨어 구성 : aws ec2(16vcpus 64gb RAM)
OS (예: /etc/os-release): centos 7
커널 (예: uname -a ): 3.10.0-693.17.1.el7.x86_64
기타 : cni 애드온으로 weave

무슨 일이에요?

kubeadm init 후 coreos 포드가 오류 상태로 유지됨

NAME                                   READY     STATUS    RESTARTS   AGE
coredns-78fcdf6894-ljdjp               0/1       Error     6          9m
coredns-78fcdf6894-p6flm               0/1       Error     6          9m
etcd-master                            1/1       Running   0          8m
heapster-5bbdfbff9f-h5h2n              1/1       Running   0          9m
kube-apiserver-master                  1/1       Running   0          8m
kube-controller-manager-master         1/1       Running   0          8m
kube-proxy-5642r                       1/1       Running   0          9m
kube-scheduler-master                  1/1       Running   0          8m
kubernetes-dashboard-6948bdb78-bwkvx   1/1       Running   0          9m
weave-net-r5jkg                        2/2       Running   0          9m

두 포드의 로그에는 다음이 표시됩니다.
standard_init_linux.go:178: exec user process caused "operation not permitted"

kindocumentation lifecyclactive prioritimportant-soon

출처

carlosrmendes

👍3

가장 유용한 댓글

감사합니다, @chrisohaver !

이것은 효과가 있었다:

kubectl -n kube-system get deployment coredns -o yaml | \
  sed 's/allowPrivilegeEscalation: false/allowPrivilegeEscalation: true/g' | \
  kubectl apply -f -

kuznero 에 2018년 08월 10일

👍17 🎉5 ❤3

모든 33 댓글

@kubernetes/sig-network-bugs

@carlosmkb , 도커 버전이 무엇입니까?

neolit123 에 2018년 07월 17일

믿기 어렵습니다. 우리 측에서 CentOS 7을 꽤 광범위하게 테스트합니다.

시스템 및 포드 로그가 있습니까?

timothysc 에 2018년 07월 17일

👎8

이 하나? https://stackoverflow.com/questions/44127247/does-anyone-know-a-workaround-for-no-new-privileges-blocking-selinux-transitions

dims 에 2018년 07월 17일

@dims , 의미가 있을 수 있습니다. 시도해 보겠습니다.

@neolit123 및 @timothysc

도커 버전: docker-1.13.1-63.git94f4240.el7.centos.x86_64

coredns 포드 로그 : standard_init_linux.go:178: exec user process caused "operation not permitted"
시스템 로그 journalctl -xeu kubelet :

Jul 17 23:45:17 server.raid.local kubelet[20442]: E0717 23:45:17.679867   20442 pod_workers.go:186] Error syncing pod dd030886-89f4-11e8-9786-0a92797fa29e ("cas-7d6d97c7bd-mzw5j_raidcloud(dd030886-89f4-11e8-9786-0a92797fa29e)"), skipping: failed to "StartContainer" for "cas" with ImagePullBackOff: "Back-off pulling image \"registry.raidcloud.io/raidcloud/cas:180328.pvt.01\""
Jul 17 23:45:18 server.raid.local kubelet[20442]: I0717 23:45:18.679059   20442 kuberuntime_manager.go:513] Container {Name:json2ldap Image:registry.raidcloud.io/raidcloud/json2ldap:180328.pvt.01 Command:[] Args:[] WorkingDir: Ports:[] EnvFrom:[] Env:[] Resources:{Limits:map[] Requests:map[]} VolumeMounts:[{Name:default-token-f2cmq ReadOnly:true MountPath:/var/run/secrets/kubernetes.io/serviceaccount SubPath: MountPropagation:<nil>}] VolumeDevices:[] LivenessProbe:&Probe{Handler:Handler{Exec:nil,HTTPGet:&HTTPGetAction{Path:/,Port:8080,Host:,Scheme:HTTP,HTTPHeaders:[],},TCPSocket:nil,},InitialDelaySeconds:30,TimeoutSeconds:5,PeriodSeconds:10,SuccessThreshold:1,FailureThreshold:3,} ReadinessProbe:nil Lifecycle:nil TerminationMessagePath:/dev/termination-log TerminationMessagePolicy:File ImagePullPolicy:IfNotPresent SecurityContext:&SecurityContext{Capabilities:nil,Privileged:*true,SELinuxOptions:nil,RunAsUser:nil,RunAsNonRoot:nil,ReadOnlyRootFilesystem:nil,AllowPrivilegeEscalation:nil,RunAsGroup:nil,} Stdin:false StdinOnce:false TTY:false} is dead, but RestartPolicy says that we should restart it.
Jul 17 23:45:18 server.raid.local kubelet[20442]: E0717 23:45:18.680001   20442 pod_workers.go:186] Error syncing pod dcc39ce2-89f4-11e8-9786-0a92797fa29e ("json2ldap-666fc85686-tmxrr_raidcloud(dcc39ce2-89f4-11e8-9786-0a92797fa29e)"), skipping: failed to "StartContainer" for "json2ldap" with ImagePullBackOff: "Back-off pulling image \"registry.raidcloud.io/raidcloud/json2ldap:180328.pvt.01\""
Jul 17 23:45:21 server.raid.local kubelet[20442]: I0717 23:45:21.678232   20442 kuberuntime_manager.go:513] Container {Name:coredns Image:k8s.gcr.io/coredns:1.1.3 Command:[] Args:[-conf /etc/coredns/Corefile] WorkingDir: Ports:[{Name:dns HostPort:0 ContainerPort:53 Protocol:UDP HostIP:} {Name:dns-tcp HostPort:0 ContainerPort:53 Protocol:TCP HostIP:} {Name:metrics HostPort:0 ContainerPort:9153 Protocol:TCP HostIP:}] EnvFrom:[] Env:[] Resources:{Limits:map[memory:{i:{value:178257920 scale:0} d:{Dec:<nil>} s:170Mi Format:BinarySI}] Requests:map[cpu:{i:{value:100 scale:-3} d:{Dec:<nil>} s:100m Format:DecimalSI} memory:{i:{value:73400320 scale:0} d:{Dec:<nil>} s:70Mi Format:BinarySI}]} VolumeMounts:[{Name:config-volume ReadOnly:true MountPath:/etc/coredns SubPath: MountPropagation:<nil>} {Name:coredns-token-6nhgg ReadOnly:true MountPath:/var/run/secrets/kubernetes.io/serviceaccount SubPath: MountPropagation:<nil>}] VolumeDevices:[] LivenessProbe:&Probe{Handler:Handler{Exec:nil,HTTPGet:&HTTPGetAction{Path:/health,Port:8080,Host:,Scheme:HTTP,HTTPHeaders:[],},TCPSocket:nil,},InitialDelaySeconds:60,TimeoutSeconds:5,PeriodSeconds:10,SuccessThreshold:1,FailureThreshold:5,} ReadinessProbe:nil Lifecycle:nil TerminationMessagePath:/dev/termination-log TerminationMessagePolicy:File ImagePullPolicy:IfNotPresent SecurityContext:&SecurityContext{Capabilities:&Capabilities{Add:[NET_BIND_SERVICE],Drop:[all],},Privileged:nil,SELinuxOptions:nil,RunAsUser:nil,RunAsNonRoot:nil,ReadOnlyRootFilesystem:*true,AllowPrivilegeEscalation:*false,RunAsGroup:nil,} Stdin:false StdinOnce:false TTY:false} is dead, but RestartPolicy says that we should restart it.
Jul 17 23:45:21 server.raid.local kubelet[20442]: I0717 23:45:21.678311   20442 kuberuntime_manager.go:757] checking backoff for container "coredns" in pod "coredns-78fcdf6894-znfvw_kube-system(9b44aa92-89f7-11e8-9786-0a92797fa29e)"
Jul 17 23:45:21 server.raid.local kubelet[20442]: I0717 23:45:21.678404   20442 kuberuntime_manager.go:767] Back-off 5m0s restarting failed container=coredns pod=coredns-78fcdf6894-znfvw_kube-system(9b44aa92-89f7-11e8-9786-0a92797fa29e)
Jul 17 23:45:21 server.raid.local kubelet[20442]: E0717 23:45:21.678425   20442 pod_workers.go:186] Error syncing pod 9b44aa92-89f7-11e8-9786-0a92797fa29e ("coredns-78fcdf6894-znfvw_kube-system(9b44aa92-89f7-11e8-9786-0a92797fa29e)"), skipping: failed to "StartContainer" for "coredns" with CrashLoopBackOff: "Back-off 5m0s restarting failed container=coredns pod=coredns-78fcdf6894-znfvw_kube-system(9b44aa92-89f7-11e8-9786-0a92797fa29e)"
Jul 17 23:45:22 server.raid.local kubelet[20442]: I0717 23:45:22.679145   20442 kuberuntime_manager.go:513] Container {Name:login Image:registry.raidcloud.io/raidcloud/admin:180329.pvt.05 Command:[] Args:[] WorkingDir: Ports:[] EnvFrom:[] Env:[] Resources:{Limits:map[] Requests:map[]} VolumeMounts:[{Name:login-config ReadOnly:true MountPath:/usr/share/nginx/conf/ SubPath: MountPropagation:<nil>} {Name:default-token-f2cmq ReadOnly:true MountPath:/var/run/secrets/kubernetes.io/serviceaccount SubPath: MountPropagation:<nil>}] VolumeDevices:[] LivenessProbe:&Probe{Handler:Handler{Exec:nil,HTTPGet:&HTTPGetAction{Path:/health,Port:8080,Host:,Scheme:HTTP,HTTPHeaders:[],},TCPSocket:nil,},InitialDelaySeconds:5,TimeoutSeconds:5,PeriodSeconds:10,SuccessThreshold:1,FailureThreshold:3,} ReadinessProbe:nil Lifecycle:nil TerminationMessagePath:/dev/termination-log TerminationMessagePolicy:File ImagePullPolicy:IfNotPresent SecurityContext:&SecurityContext{Capabilities:nil,Privileged:*true,SELinuxOptions:nil,RunAsUser:nil,RunAsNonRoot:nil,ReadOnlyRootFilesystem:nil,AllowPrivilegeEscalation:nil,RunAsGroup:nil,} Stdin:false StdinOnce:false TTY:false} is dead, but RestartPolicy says that we should restart it.
Jul 17 23:45:22 server.raid.local kubelet[20442]: E0717 23:45:22.679941   20442 pod_workers.go:186] Error syncing pod dc8392a9-89f4-11e8-9786-0a92797fa29e ("login-85ffb66bb8-5l9fq_raidcloud(dc8392a9-89f4-11e8-9786-0a92797fa29e)"), skipping: failed to "StartContainer" for "login" with ImagePullBackOff: "Back-off pulling image \"registry.raidcloud.io/raidcloud/admin:180329.pvt.05\""
Jul 17 23:45:23 server.raid.local kubelet[20442]: I0717 23:45:23.678172   20442 kuberuntime_manager.go:513] Container {Name:coredns Image:k8s.gcr.io/coredns:1.1.3 Command:[] Args:[-conf /etc/coredns/Corefile] WorkingDir: Ports:[{Name:dns HostPort:0 ContainerPort:53 Protocol:UDP HostIP:} {Name:dns-tcp HostPort:0 ContainerPort:53 Protocol:TCP HostIP:} {Name:metrics HostPort:0 ContainerPort:9153 Protocol:TCP HostIP:}] EnvFrom:[] Env:[] Resources:{Limits:map[memory:{i:{value:178257920 scale:0} d:{Dec:<nil>} s:170Mi Format:BinarySI}] Requests:map[cpu:{i:{value:100 scale:-3} d:{Dec:<nil>} s:100m Format:DecimalSI} memory:{i:{value:73400320 scale:0} d:{Dec:<nil>} s:70Mi Format:BinarySI}]} VolumeMounts:[{Name:config-volume ReadOnly:true MountPath:/etc/coredns SubPath: MountPropagation:<nil>} {Name:coredns-token-6nhgg ReadOnly:true MountPath:/var/run/secrets/kubernetes.io/serviceaccount SubPath: MountPropagation:<nil>}] VolumeDevices:[] LivenessProbe:&Probe{Handler:Handler{Exec:nil,HTTPGet:&HTTPGetAction{Path:/health,Port:8080,Host:,Scheme:HTTP,HTTPHeaders:[],},TCPSocket:nil,},InitialDelaySeconds:60,TimeoutSeconds:5,PeriodSeconds:10,SuccessThreshold:1,FailureThreshold:5,} ReadinessProbe:nil Lifecycle:nil TerminationMessagePath:/dev/termination-log TerminationMessagePolicy:File ImagePullPolicy:IfNotPresent SecurityContext:&SecurityContext{Capabilities:&Capabilities{Add:[NET_BIND_SERVICE],Drop:[all],},Privileged:nil,SELinuxOptions:nil,RunAsUser:nil,RunAsNonRoot:nil,ReadOnlyRootFilesystem:*true,AllowPrivilegeEscalation:*false,RunAsGroup:nil,} Stdin:false StdinOnce:false TTY:false} is dead, but RestartPolicy says that we should restart it.
Jul 17 23:45:23 server.raid.local kubelet[20442]: I0717 23:45:23.678412   20442 kuberuntime_manager.go:757] checking backoff for container "coredns" in pod "coredns-78fcdf6894-lcqt5_kube-system(9b45a068-89f7-11e8-9786-0a92797fa29e)"
Jul 17 23:45:23 server.raid.local kubelet[20442]: I0717 23:45:23.678532   20442 kuberuntime_manager.go:767] Back-off 5m0s restarting failed container=coredns pod=coredns-78fcdf6894-lcqt5_kube-system(9b45a068-89f7-11e8-9786-0a92797fa29e)
Jul 17 23:45:23 server.raid.local kubelet[20442]: E0717 23:45:23.678554   20442 pod_workers.go:186] Error syncing pod 9b45a068-89f7-11e8-9786-0a92797fa29e ("coredns-78fcdf6894-lcqt5_kube-system(9b45a068-89f7-11e8-9786-0a92797fa29e)"), skipping: failed to "StartContainer" for "coredns" with CrashLoopBackOff: "Back-off 5m0s restarting failed container=coredns pod=coredns-78fcdf6894-lcqt5_kube-system(9b45a068-89f7-11e8-9786-0a92797fa29e)"

carlosrmendes 에 2018년 07월 18일

과거에 다른 시나리오에서 보고된 동일한 오류의 몇 가지 인스턴스를 찾았습니다.
CoreDNS 배포에서 "allowPrivilegeEscalation: false"를 제거하여 도움이 되는지 확인할 수 있습니다.

chrisohaver 에 2018년 07월 19일

❤3

저에게도 같은 문제입니다. 유사한 설정 CentOS 7.4.1708, Docker 버전 1.13.1, 빌드 94f4240/1.13.1(CentOS와 함께 제공):

[root@faas-A01 ~]# kubectl get pods --all-namespaces
NAMESPACE     NAME                                                 READY     STATUS             RESTARTS   AGE
kube-system   calico-node-2vssv                                    2/2       Running            0          9m
kube-system   calico-node-4vr7t                                    2/2       Running            0          7m
kube-system   calico-node-nlfnd                                    2/2       Running            0          17m
kube-system   calico-node-rgw5w                                    2/2       Running            0          23m
kube-system   coredns-78fcdf6894-p4wbl                             0/1       CrashLoopBackOff   9          30m
kube-system   coredns-78fcdf6894-r4pwf                             0/1       CrashLoopBackOff   9          30m
kube-system   etcd-faas-a01.sl.cloud9.ibm.com                      1/1       Running            0          29m
kube-system   kube-apiserver-faas-a01.sl.cloud9.ibm.com            1/1       Running            0          29m
kube-system   kube-controller-manager-faas-a01.sl.cloud9.ibm.com   1/1       Running            0          29m
kube-system   kube-proxy-55csj                                     1/1       Running            0          17m
kube-system   kube-proxy-56r8c                                     1/1       Running            0          30m
kube-system   kube-proxy-kncql                                     1/1       Running            0          9m
kube-system   kube-proxy-mf2bp                                     1/1       Running            0          7m
kube-system   kube-scheduler-faas-a01.sl.cloud9.ibm.com            1/1       Running            0          29m
[root@faas-A01 ~]# kubectl logs --namespace=all coredns-78fcdf6894-p4wbl
Error from server (NotFound): namespaces "all" not found
[root@faas-A01 ~]# kubectl logs --namespace=kube-system coredns-78fcdf6894-p4wbl
standard_init_linux.go:178: exec user process caused "operation not permitted"

sectorsize512 에 2018년 07월 19일

만일을 대비하여 selinux는 모든 노드에서 허용 모드입니다.

sectorsize512 에 2018년 07월 19일

저는 Calico를 사용하고 있습니다(@carlosmkb로 짜지 않음).

sectorsize512 에 2018년 07월 19일

[ root@faas-A01 ~]# kubectl 로그 --namespace=kube-system coredns-78fcdf6894-p4wbl
standard_init_linux.go:178: exec 사용자 프로세스로 인해 "작업이 허용되지 않음"이 발생했습니다.

아 - 이것은 로그의 내용이 아니라 로그를 가져오려고 할 때 kubectl의 오류입니다...

chrisohaver 에 2018년 07월 23일

@chrisohaver kubectl logs 는 다른 kube 시스템 포드와 함께 작동합니다.

carlosrmendes 에 2018년 07월 23일

확인 - CoreDNS 배포에서 "allowPrivilegeEscalation: false"를 제거하여 도움이 되는지 확인해보셨습니까?

chrisohaver 에 2018년 07월 23일

👍1

... coredns 포드의 kubectl describe 가 흥미로운 것을 보여줍니까?

chrisohaver 에 2018년 07월 23일

저에게도 같은 문제입니다.
CentOS Linux 릴리스 7.5.1804(코어)
Docker 버전 1.13.1, 빌드 dded712/1.13.1
cni 애드온으로 플란넬

[root<strong i="9">@k8s</strong> ~]# kubectl get pods --all-namespaces
NAMESPACE     NAME                                 READY     STATUS             RESTARTS   AGE
kube-system   coredns-78fcdf6894-cfmm7             0/1       CrashLoopBackOff   12         15m
kube-system   coredns-78fcdf6894-k65js             0/1       CrashLoopBackOff   11         15m
kube-system   etcd-k8s.master                      1/1       Running            0          14m
kube-system   kube-apiserver-k8s.master            1/1       Running            0          13m
kube-system   kube-controller-manager-k8s.master   1/1       Running            0          14m
kube-system   kube-flannel-ds-fts6v                1/1       Running            0          14m
kube-system   kube-proxy-4tdb5                     1/1       Running            0          15m
kube-system   kube-scheduler-k8s.master            1/1       Running            0          14m
[root<strong i="10">@k8s</strong> ~]# kubectl logs coredns-78fcdf6894-cfmm7 -n kube-system
standard_init_linux.go:178: exec user process caused "operation not permitted"
[root<strong i="11">@k8s</strong> ~]# kubectl describe pods coredns-78fcdf6894-cfmm7 -n kube-system
Name:           coredns-78fcdf6894-cfmm7
Namespace:      kube-system
Node:           k8s.master/192.168.150.40
Start Time:     Fri, 27 Jul 2018 00:32:09 +0800
Labels:         k8s-app=kube-dns
                pod-template-hash=3497892450
Annotations:    <none>
Status:         Running
IP:             10.244.0.12
Controlled By:  ReplicaSet/coredns-78fcdf6894
Containers:
  coredns:
    Container ID:  docker://3b7670fbc07084410984d7e3f8c0fa1b6d493a41d2a4e32f5885b7db9d602417
    Image:         k8s.gcr.io/coredns:1.1.3
    Image ID:      docker-pullable://k8s.gcr.io/coredns<strong i="12">@sha256</strong>:db2bf53126ed1c761d5a41f24a1b82a461c85f736ff6e90542e9522be4757848
    Ports:         53/UDP, 53/TCP, 9153/TCP
    Host Ports:    0/UDP, 0/TCP, 0/TCP
    Args:
      -conf
      /etc/coredns/Corefile
    State:          Waiting
      Reason:       CrashLoopBackOff
    Last State:     Terminated
      Reason:       Error
      Exit Code:    1
      Started:      Fri, 27 Jul 2018 00:46:30 +0800
      Finished:     Fri, 27 Jul 2018 00:46:30 +0800
    Ready:          False
    Restart Count:  12
    Limits:
      memory:  170Mi
    Requests:
      cpu:        100m
      memory:     70Mi
    Liveness:     http-get http://:8080/health delay=60s timeout=5s period=10s #success=1 #failure=5
    Environment:  <none>
    Mounts:
      /etc/coredns from config-volume (ro)
      /var/run/secrets/kubernetes.io/serviceaccount from coredns-token-vqslm (ro)
Conditions:
  Type              Status
  Initialized       True 
  Ready             False 
  ContainersReady   False 
  PodScheduled      True 
Volumes:
  config-volume:
    Type:      ConfigMap (a volume populated by a ConfigMap)
    Name:      coredns
    Optional:  false
  coredns-token-vqslm:
    Type:        Secret (a volume populated by a Secret)
    SecretName:  coredns-token-vqslm
    Optional:    false
QoS Class:       Burstable
Node-Selectors:  <none>
Tolerations:     CriticalAddonsOnly
                 node-role.kubernetes.io/master:NoSchedule
                 node.kubernetes.io/not-ready:NoExecute for 300s
                 node.kubernetes.io/unreachable:NoExecute for 300s
Events:
  Type     Reason            Age                 From                 Message
  ----     ------            ----                ----                 -------
  Warning  FailedScheduling  16m (x6 over 16m)   default-scheduler    0/1 nodes are available: 1 node(s) were not ready.
  Normal   Scheduled         16m                 default-scheduler    Successfully assigned kube-system/coredns-78fcdf6894-cfmm7 to k8s.master
  Warning  BackOff           14m (x10 over 16m)  kubelet, k8s.master  Back-off restarting failed container
  Normal   Pulled            14m (x5 over 16m)   kubelet, k8s.master  Container image "k8s.gcr.io/coredns:1.1.3" already present on machine
  Normal   Created           14m (x5 over 16m)   kubelet, k8s.master  Created container
  Normal   Started           14m (x5 over 16m)   kubelet, k8s.master  Started container
  Normal   Pulled            11m (x4 over 12m)   kubelet, k8s.master  Container image "k8s.gcr.io/coredns:1.1.3" already present on machine
  Normal   Created           11m (x4 over 12m)   kubelet, k8s.master  Created container
  Normal   Started           11m (x4 over 12m)   kubelet, k8s.master  Started container
  Warning  BackOff           2m (x56 over 12m)   kubelet, k8s.master  Back-off restarting failed container
[root<strong i="13">@k8s</strong> ~]# uname
Linux
[root<strong i="14">@k8s</strong> ~]# uname -a
Linux k8s.master 3.10.0-693.el7.x86_64 #1 SMP Tue Aug 22 21:09:27 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux
[root<strong i="15">@k8s</strong> ~]# cat /etc/redhat-release 
CentOS Linux release 7.5.1804 (Core) 
[root<strong i="16">@k8s</strong> ~]# docker --version
Docker version 1.13.1, build dded712/1.13.1

Leozki 에 2018년 07월 26일

selinux가 허용 모드에 있을 때도 동일한 문제가 있습니다. /etc/selinux/conf SELINUX=disabled에서 비활성화하고 시스템을 재부팅하면 포드가 시작됩니다.

레드햇 7.4, 커널 3.10.0-693.11.6.el7.x86_64
도커-1.13.1-68.gitdded712.el7.x86_64

zimnyjakub 에 2018년 07월 27일

참고로 SELinux가 비활성화된 상태에서도 작동합니다(허용되지는 않지만 _disabled_).
Docker 버전 1.13.1, 빌드 dded712/1.13.1
센트OS 7

[root<strong i="8">@centosk8s</strong> ~]# kubectl logs coredns-78fcdf6894-rhx9p -n kube-system
.:53
CoreDNS-1.1.3
linux/amd64, go1.10.1, b0fd575c
2018/07/27 16:37:31 [INFO] CoreDNS-1.1.3
2018/07/27 16:37:31 [INFO] linux/amd64, go1.10.1, b0fd575c
2018/07/27 16:37:31 [INFO] plugin/reload: Running configuration MD5 = 2a066f12ec80aeb2b92740dd74c17138

chrisohaver 에 2018년 07월 27일

우리도 이 문제를 겪고 있으며 자동화를 통해 인프라를 프로비저닝하므로 selinux를 완전히 비활성화하기 위해 다시 시작해야 하는 것은 허용되지 않습니다. 이 문제가 해결되기를 기다리는 다른 해결 방법이 있습니까?

lareeth 에 2018년 07월 30일

CoreDNS 배포에서 "allowPrivilegeEscalation: false"를 제거하여 도움이 되는지 확인하십시오.
최신 버전의 docker(1.13 이상)로 업데이트하는 것도 도움이 될 수 있습니다.

chrisohaver 에 2018년 07월 30일

여기서도 같은 문제
도커 버전 1.2.6
센트OS 7
@lareeth와 마찬가지로 kubeadm 을 사용할 때 kubernetes 자동화를 프로비저닝하고 selinux를 완전히 비활성화하기 위해 다시 시작해야 하는 것도 허용되지 않습니다.
@chrisohaver 는 selinux를 완전히 비활성화하기 위해 다시 시작을 요구하는 것은 허용되지 않습니다. 유용하게 사용합니다. 감사합니다 !
그러나 내가 알고 있는 바와 같이 coredns 옵션은 kubeadm 구성에서 설정되지 않습니다.
다른 방법은 없나요?

thdrnsdk 에 2018년 08월 01일

CoreDNS 배포에서 "allowPrivilegeEscalation: false"를 제거하여 도움이 되는지 확인하십시오.
최신 버전의 docker(예: k8s에서 권장하는 버전)로 업데이트하는 것도 도움이 될 수 있습니다.

chrisohaver 에 2018년 08월 01일

coredns 배포에서 "allowPrivilegeEscalation: false"를 제거하면 문제가 해결됨을 확인했습니다(SE linux가 허용 모드에서 활성화됨).

chrisohaver 에 2018년 08월 01일

👍3

또한 Kubernetes에서 권장하는 docker 버전(docker 17.03)으로 업그레이드하면 "allowPrivilegeEscalation: false"가 coredns 배포에 남아 있고 SELinux가 허용 모드에서 활성화된 상태에서 문제가 해결됨을 확인했습니다.

chrisohaver 에 2018년 08월 01일

따라서 이전 버전의 docker와 SELinux 사이에 allowPrivilegeEscalation 지시문이 있는 비호환성이 있는 것처럼 보입니다. 이 지시문은 이후 버전의 docker에서 분명히 해결되었습니다.

3가지 다른 해결 방법이 있는 것 같습니다.

최신 버전의 docker(예: 17.03, 현재 k8s에서 권장하는 버전)로 업그레이드
또는 배포의 포드 사양에서 allowPrivilegeEscalation=false를 제거하십시오.
또는 SELinux 비활성화

chrisohaver 에 2018년 08월 01일

👍12

@chrisohaver 최신 버전의 docker 17.03으로 업그레이드하여 문제를 해결했습니다. 고마워

Leozki 에 2018년 08월 01일

조사에 감사드립니다 @chrisohaver :100:

neolit123 에 2018년 08월 01일

감사합니다, @chrisohaver !

이것은 효과가 있었다:

kubectl -n kube-system get deployment coredns -o yaml | \
  sed 's/allowPrivilegeEscalation: false/allowPrivilegeEscalation: true/g' | \
  kubectl apply -f -

kuznero 에 2018년 08월 10일

👍17 🎉5 ❤3

@chrisohaver
SELinux 노드에 대한 kubeadm 문제 해결 가이드 에서 이 단계를 다음 행으로 문서화해야 한다고 생각하십니까?

`coredns` 포드에는 `CrashLoopBackOff` 또는 `Error` 상태가 있습니다.

이전 버전의 Docker와 함께 SELinux를 실행하는 노드가 있는 경우 coredns 팟(Pod)이 시작되지 않는 시나리오가 발생할 수 있습니다. 이 문제를 해결하려면 다음 옵션 중 하나를 시도해 보세요.

최신 버전의 Docker로 업그레이드 - 17.03이 작동하는 것으로 확인되었습니다.
SELinux를 비활성화합니다.
allowPrivilegeEscalation 를 true 로 설정하도록 coredns 배포를 수정합니다.

kubectl -n kube-system get deployment coredns -o yaml | \
  sed 's/allowPrivilegeEscalation: false/allowPrivilegeEscalation: true/g' | \
  kubectl apply -f -

어떻게 생각하십니까? 뭔가 개선할 수 있다고 생각되면 텍스트 수정을 제안하십시오.

neolit123 에 2018년 08월 10일

👍1

괜찮아. SELinux를 비활성화하거나 allowPrivilegeEscalation 설정을 변경할 때 보안에 부정적인 영향이 있음을 언급해야 합니다.

가장 안전한 솔루션은 Docker를 Kubernetes가 권장 하는 버전(17.03)으로 업그레이드하는 것입니다.

chrisohaver 에 2018년 08월 10일

👍1

@chrisohaver
이해하면 사본을 수정하고 이에 대한 PR을 제출할 것입니다.

neolit123 에 2018년 08월 10일

stackoverflow에도 이에 대한 답변이 있습니다.
https://stackoverflow.com/questions/53075796/coredns-pods-have-crashloopbackoff-or-error-state

이 오류

[FATAL] plugin/loop: Seen "HINFO IN 6900627972087569316.7905576541070882081." more than twice, loop detected

CoreDNS가 확인 구성에서 루프를 감지할 때 발생하며 이는 의도된 동작입니다. 당신은 이 문제를 겪고 있습니다:

https://github.com/kubernetes/kubeadm/issues/1162

https://github.com/coredns/coredns/issues/2087

Hacky 솔루션: CoreDNS 루프 감지 비활성화

CoreDNS 구성 맵을 편집합니다.

kubectl -n kube-system edit configmap coredns

loop 행을 제거하거나 주석 처리하고 저장하고 종료합니다.

그런 다음 CoreDNS 포드를 제거하여 새 구성으로 새 포드를 생성할 수 있습니다.

kubectl -n kube-system delete pod -l k8s-app=kube-dns

그 후에는 모든 것이 좋아야합니다.

선호하는 솔루션: DNS 구성에서 루프 제거

먼저 systemd-resolved 를 사용 중인지 확인하십시오. Ubuntu 18.04를 실행 중이라면 아마도 그럴 것입니다.

systemctl list-unit-files | grep enabled | grep systemd-resolved

그렇다면 클러스터에서 참조로 사용 중인 resolv.conf 파일을 확인하십시오.

ps auxww | grep kubelet

다음과 같은 줄이 표시될 수 있습니다.

/usr/bin/kubelet ... --resolv-conf=/run/systemd/resolve/resolv.conf

중요한 부분은 --resolv-conf 입니다. systemd resolv.conf가 사용되는지 여부를 알아냅니다.

systemd resolv.conf 인 경우 다음을 수행합니다.

/run/systemd/resolve/resolv.conf 의 내용을 확인하여 다음과 같은 레코드가 있는지 확인하십시오.

nameserver 127.0.0.1

127.0.0.1 가 있으면 루프를 일으키는 것입니다.

제거하려면 해당 파일을 편집하지 말고 다른 위치에서 제대로 생성되었는지 확인하십시오.

/etc/systemd/network 아래의 모든 파일을 확인하고 다음과 같은 레코드를 찾으면

DNS=127.0.0.1

그 기록을 삭제합니다. 또한 /etc/systemd/resolved.conf 를 확인하고 필요한 경우 동일한 작업을 수행합니다. 다음과 같이 적어도 하나 또는 두 개의 DNS 서버가 구성되어 있는지 확인하십시오.

DNS=1.1.1.1 1.0.0.1

모든 작업을 수행한 후 변경 사항을 적용하려면 systemd 서비스를 다시 시작하세요.
systemctl 다시 시작 systemd-networkd systemd-resolved

그런 다음 resolv.conf 파일에 DNS=127.0.0.1 가 더 이상 없는지 확인합니다.

cat /run/systemd/resolve/resolv.conf

마지막으로 DNS 포드의 재생성을 트리거합니다.

kubectl -n kube-system delete pod -l k8s-app=kube-dns

요약: 솔루션에는 호스트 DNS 구성에서 DNS 조회 루프처럼 보이는 것을 제거하는 것이 포함됩니다. 단계는 resolv.conf 관리자/구현마다 다릅니다.

mydockergit 에 2019년 01월 23일

👍3

감사 해요. CoreDNS 루프 플러그인 추가 정보 에서도 다룹니다...

chrisohaver 에 2019년 01월 23일

나는 같은 문제가 있고 또 다른 문제가 있습니다.
1. dns를 찾을 수 없음을 의미합니다. 오류는
[오류] 플러그인/오류: 2 2115717704248378980.1120568170924441806. 힌트: 연결할 수 없는 백엔드: udp 10.224.0.3:57088->8.8.8.8:53 읽기: i/o 시간 초과
[오류] 플러그인/오류: 2 2115717704248378980.1120568170924441806. 힌트: 연결할 수 없는 백엔드: 읽기 udp 10.224.0.3:38819->172.16.254.1:53: i/o 시간 초과
........

내 /etc/resolv.com
가지고 있지 않다
네임서버 172.16.254.1 #이것은 내 DNS입니다
네임서버 8.8.8.8 #넷의 또 다른 dns
난 달린다

kubectl -n kube-system 배포 coredns -o yaml 가져오기 | \
sed '/allowPrivilegeEscalation: false/allowPrivilegeEscalation: true/g' | \
kubectl 적용 -f -

그런 다음 포드 재구축에는 하나의 오류만 있습니다.

[오류] 플러그인/오류: 2 10594135170717325.8545646296733374240. 힌트: 연결할 수 없는 백엔드: 업스트림 호스트가 없습니다.

그게 정상인지 모르겠습니다. 아마도

2, coredns가 내 API 서비스를 찾을 수 없습니다. 오류는

kube-dns *v1.Endpoints getsockopt를 나열하지 못했습니다: 10.96.0.1:6443 API 연결이 거부되었습니다.

coredns가 계속해서 다시 시작되고 마침내 CrashLoopBackOff가 됩니다.

그래서 마스터 노드에서 coredns를 실행해야 합니다.

kubectl 편집 배포/coredns --namespace=kube-system
스펙.템플릿.스펙
노드 선택기:
node-role.kubernetes.io/master: ""

그게 정상인지 모르겠어

마지막으로 내 env를 제공

리눅스 4.20.10-1.el7.elrepo.x86_64 /// 센토스 7

도커 버전: 18.09.3

[ root@k8smaster00 ~]# 도커 이미지 ls -a
저장소 태그 이미지 ID 생성된 크기
k8s.gcr.io/kube-controller-manager v1.13.3 0482f6400933 6주 전 146MB
k8s.gcr.io/kube-proxy v1.13.3 98db19758ad4 6주 전 80.3MB
k8s.gcr.io/kube-apiserver v1.13.3 fe242e556a99 6주 전 181MB
k8s.gcr.io/kube-scheduler v1.13.3 3a6f709e97a0 6주 전 79.6MB
quay.io/coreos/flannel v0.11.0-amd64 ff281650a721 7주 전 52.6MB
k8s.gcr.io/coredns 1.2.6 f59dcacceff4 4개월 전 40MB
k8s.gcr.io/etcd 3.2.24 3cab8e1b9802 6 개월 전 220MB
k8s.gcr.io/pause 3.1 da86e6ba6ca1 15개월 전 742kB

쿠베넷은 1.13.3입니다.

이것은 버그라고 생각합니다. 공식 업데이트 또는 솔루션을 기대하십시오

mengxifl 에 2019년 03월 20일

나는 같은 문제가 있습니다 ...

@mengxifl , 이러한 오류는 이번 호에서 보고되고 논의된 오류와 크게 다릅니다.

[오류] 플러그인/오류: 2 2115717704248378980.1120568170924441806. 힌트: 연결할 수 없는 백엔드: udp 10.224.0.3:57088->8.8.8.8:53 읽기: i/o 시간 초과
[오류] 플러그인/오류: 2 2115717704248378980.1120568170924441806. 힌트: 연결할 수 없는 백엔드: 읽기 udp 10.224.0.3:38819->172.16.254.1:53: i/o 시간 초과

이러한 오류는 CoreDNS 포드(및 아마도 다른 모든 포드)가 네임서버에 도달할 수 없음을 의미합니다. 이는 클러스터의 네트워킹 문제를 외부 세계에 암시합니다. 플란넬 구성이 잘못되었거나 방화벽이 있을 수 있습니다.

coredns에서 내 API 서비스를 찾을 수 없습니다...
그래서 마스터 노드에서 coredns를 실행해야 합니다.

이것도 정상이 아닙니다. 내가 당신을 올바르게 이해한다면 CoreDNS가 마스터 노드에서 API에 연결할 수 있지만 다른 노드에서는 연결할 수 없다고 말하는 것입니다. 이것은 클러스터 내의 노드 간의 네트워킹 문제를 해결하기 위해 포드를 제안합니다. 아마도 플란넬 구성 또는 방화벽 문제일 수 있습니다.

chrisohaver 에 2019년 03월 20일

나는 같은 문제가 있습니다 ...
@mengxifl , 이러한 오류는 이번 호에서 보고되고 논의된 오류와 크게 다릅니다.
[오류] 플러그인/오류: 2 2115717704248378980.1120568170924441806. 힌트: 연결할 수 없는 백엔드: udp 10.224.0.3:57088->8.8.8.8:53 읽기: i/o 시간 초과
[오류] 플러그인/오류: 2 2115717704248378980.1120568170924441806. 힌트: 연결할 수 없는 백엔드: 읽기 udp 10.224.0.3:38819->172.16.254.1:53: i/o 시간 초과
이러한 오류는 CoreDNS 포드(및 아마도 다른 모든 포드)가 네임서버에 도달할 수 없음을 의미합니다. 이는 클러스터의 네트워킹 문제를 외부 세계에 암시합니다. 플란넬 구성이 잘못되었거나 방화벽이 있을 수 있습니다.
coredns에서 내 API 서비스를 찾을 수 없습니다...
그래서 마스터 노드에서 coredns를 실행해야 합니다.
이것도 정상이 아닙니다. 내가 당신을 올바르게 이해한다면 CoreDNS가 마스터 노드에서 API에 연결할 수 있지만 다른 노드에서는 연결할 수 없다고 말하는 것입니다. 이것은 클러스터 내의 노드 간의 네트워킹 문제를 해결하기 위해 포드를 제안합니다. 아마도 플란넬 구성 또는 방화벽 문제일 수 있습니다.

당신의 답변에 감사드립니다

아마도 내 yaml 파일을 올려야 할 것입니다

나는 사용한다
kubeadm 초기화 --config=config.yaml

내 config.yaml 내용은

apiVersion: kubeadm.k8s.io/v1alpha3
kind: InitConfiguration
apiEndpoint:
  advertiseAddress: "172.16.254.74"
  bindPort: 6443
---
apiVersion: kubeadm.k8s.io/v1alpha3
kind: ClusterConfiguration
kubernetesVersion: "v1.13.3"
etcd:
  external:
    endpoints:
    - "https://172.16.254.86:2379" 
    - "https://172.16.254.87:2379"
    - "https://172.16.254.88:2379"
    caFile: /etc/kubernetes/pki/etcd/ca.pem
    certFile: /etc/kubernetes/pki/etcd/client.pem
    keyFile: /etc/kubernetes/pki/etcd/client-key.pem
networking:
  podSubnet: "10.224.0.0/16"
  serviceSubnet: "10.96.0.0/12"
apiServerCertSANs:
- k8smaster00
- k8smaster01
- k8snode00
- k8snode01
- 172.16.254.74
- 172.16.254.79
- 172.16.254.80
- 172.16.254.81
- 172.16.254.85 #Vip
- 127.0.0.1
clusterName: "cluster"
controlPlaneEndpoint: "172.16.254.85:6443"

apiServerExtraArgs:
  service-node-port-range: 20-65535

내 fannel yaml은 기본입니다

https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml

systemctl status firewalld
모든 노드 말
장치 firewalld.service를 찾을 수 없습니다.

cat /etc/sysconfig/iptables
모든 노드 말
*필터
:입력 수락 [0:0]
:앞으로 수락 [0:0]
:출력 승인 [0:0]
-A 입력 -p tcp -m tcp --dport 1:65535 -j 수락
-A INPUT -m 상태 --state RELATED,ESTABLISHED -j ACCEPT
-A 입력 -p icmp -j 수락
-A 입력 -i lo -j 수락
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A 출력 -p tcp -m tcp --sport 1:65535 -j 수락
-A 앞으로 -p tcp -m tcp --dport 1:65535 -j 수락
-A 앞으로 -p tcp -m tcp --sport 1:65535 -j 수락
COMMI

cat /etc/resolv.conf & ping bing.com
모든 노드 말
[1] 6330
네임서버 172.16.254.1
네임서버 8.8.8.8
PING bing.com(13.107.21.200) 56(84) 바이트 데이터.
13.107.21.200(13.107.21.200)의 64바이트: icmp_seq=2 ttl=111 시간=149ms

uname -rs
마스터 노드 말
리눅스 4.20.10-1.el7.elrepo.x86_64

uname -rs
슬레이브 노드 말
리눅스 4.4.176-1.el7.elrepo.x86_64

그래서 방화벽이 mybe fannel에 문제가 있다고 생각하지 않습니까? 하지만 기본 구성을 사용합니다. 그리고 아마도 리눅스 버전 . 모르겠어요 .

좋아, 나는 달린다
/sbin/iptables -t nat -I POSTROUTING -s 10.224.0.0/16 -j MASQUERADE

나를 위해 작동하는 모든 노드에서. 감사 해요

mengxifl 에 2019년 03월 21일

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Kubeadm: CoreDNS가 k8s 1.11 및 weave(CentOS 7)에서 시작되지 않음

이것은 버그 보고서입니까 아니면 기능 요청입니까?

버전

무슨 일이에요?

가장 유용한 댓글

모든 33 댓글

coredns 포드에는 CrashLoopBackOff 또는 Error 상태가 있습니다.

관련 문제

`coredns` 포드에는 `CrashLoopBackOff` 또는 `Error` 상태가 있습니다.