我有一个kubeadm安装的 Kubernetes 集群。最近它停止工作了。kubelet正在运行,但似乎停留在初始化阶段。我认为根本原因是这种重复登录kube-apiserver:
1 authentication.go:63] "Unable to authenticate the request" err="[x509: certificate has expired or is not yet valid: current time 2021-06-02T13:18:50Z is after 2021-05-29T15:48:22Z
所以有一个证书问题,也kubectl失败了unauthorized。事情是,kubeadm certs check-expiration似乎很高兴,我什至手动检查了一些 yaml 配置文件(base64 解码证书,并通过 openssl 运行它们以检查日期)。尽管如此,我还是要求 kubeadm 更新所有证书并重新启动所有内容,但没有任何效果。
知道如何确定哪个证书已过期吗?
我运行一个 Kubernetes 集群,安装了kubeadm. 我最近从 1.19 升级到 1.20 并将容器运行时从 迁移docker到containerd,因为docker现在已弃用。
我配置containerd并kubelet使用它,并docker从所有节点卸载。一切似乎都运行良好。
今天,我尝试从 1.20 升级到 1.21,但运行时收到两个警告,kubeadm upgrade plan这让我认为containerd过渡尚未完成:
它尝试使用 docker:
cannot automatically set CgroupDriver when starting the Kubelet: cannot execute 'docker info -f {{.CgroupDriver}}': executable file not found in $PATH
kubeadm似乎不知道我们不再使用 docker,但是我没有在文档或本地 conf 中找到正确的选项,除非--cri-socket它不适用于kubeadm upgrade.它不检测 cgroup 驱动程序设置:
The 'cgroupDriver' value in the KubeletConfiguration is empty. Starting from 1.22, 'kubeadm upgrade' will default an empty value to the 'systemd' cgroup driver. The cgroup driver between the container runtime and the kubelet must match!
这真的很令人惊讶,因为我有cgroupDriver: systemdin kubectl -n kube-system get cm kubelet-config-1.20 -o yaml,in , and中/var/lib/kubelet/config.yaml还有标志,它甚至被打印出来了!/etc/default/kubelet/var/lib/kubelet/kubeadm-flags.envkubeadm --v=10
如何确定是否存在潜在的配置问题,或者我是否可以安全地忽略这些警告?
我不确定哪些文件、configmap 或日志可能对帮助我解决这个问题有用,但如果需要,我很乐意提供它们。
我在其中添加了这个~/.ssh/config以帮助避免愚蠢的错误:
Host *.prod-domain.com
LocalCommand print "WARNING: PROD" && print "continue ?" && read
PermitLocalCommand yes
当ssh我尝试连接到prod-domain.com.
现在,大多数主机都不会公开 ssh,所以我们必须通过网关。我曾经做过
ssh -J gateway.prod-domain.com target.prod-domain.com
但是启用本地命令后,ssh 失败并显示:
Bad packet length 1231976033.
ssh_dispatch_run_fatal: Connection to UNKNOWN port 65535: message authentication code incorrect
直接连接(例如ssh gateway.prod-domain.com)仍然可以正常工作,如果我评论本地命令,则可以使用跳转进行连接。
本地命令和 ssh 跳转不兼容吗?它是否记录在某处,有没有办法让它工作(比如在“跳跃”时禁用本地命令),或者我可能遇到了错误?