kubernetes - 恢复被破坏的 kubeadm master

Question

我使用 kubeadm 1.20 创建了一个 1-master 2-workers kubernetes 集群并备份了 etcd。我故意销毁了master，看看如何让集群恢复运行状态。

Kubernetes version: 1.20
Installation method: kubeadm
Host OS: windows 10 pro
Guest OS: ubuntu 18 on virtual box 6
CNI and version: weave-net
CRI and version: docker 19

我部分成功，因为我在销毁 master 之前创建的秘密在 etcd 恢复后可见，所以这部分似乎有效。

但是，根据 coredns pod 的日志，coredns pod 未经授权向 api 服务器发出请求：

[INFO] plugin/ready: Still waiting on: "kubernetes"
E1229 21:42:25.892580       1 reflector.go:178] pkg/mod/k8s.io/client-go@v0.18.3/tools/cache/reflector.go:125: Failed to list *v1.Namespace: Unauthorized
E1229 21:42:29.680620       1 reflector.go:178] pkg/mod/k8s.io/client-go@v0.18.3/tools/cache/reflector.go:125: Failed to list *v1.Endpoints: Unauthorized
[INFO] plugin/ready: Still waiting on: "kubernetes"
E1229 21:42:39.492521       1 reflector.go:178] pkg/mod/k8s.io/client-go@v0.18.3/tools/cache/reflector.go:125: Failed to list *v1.Service: Unauthorized

我猜它与服务帐户令牌有关，所以我缺少一个步骤来授权 pod 在替换 etcd 数据库后向 api-server 进行身份验证。

我错过了什么？

score 2 · Accepted Answer

如果您只备份 Etcd 的内容，那么 kubeadm 将生成用于签署 ServiceAccount JWT 的新证书。旧令牌将不再验证。由于这通常不会在日常维护期间完成，我认为 SA 控制器不知道重新发行令牌。如果您删除所有基础机密，它应该重新发布。

kubernetes - 恢复被破坏的 kubeadm master

1 回答 1

Related

Reference