问题标签 [kops]

在我们的 Kubernetes 1.6 集群中没有任何已知的变化，所有新的或重新启动的 pod 都不再被调度。我得到的错误是：

我们的集群之前运行良好，我真的看不到在此之前所做的任何配置更改。

我已经尝试过的事情：

• 重启主节点
• 重启 kube-scheduler
• 删除受影响的 pod、部署、有状态集

一些 pod 确实具有以前有效的反关联设置，但大多数 pod 没有任何关联设置。

集群信息：

• Kubernetes 1.6.2
• AWS 上的 Kops
• 1个主节点，8个主节点，1个污染数据处理节点

这有什么已知的原因吗？

我可以检查哪些设置和日志可以提供更多洞察力？

有没有可能调试调度程序？

目前，我想介绍一些 AWS 内 Kubernetes 的外部防火墙解决方案。我正在使用 kops 来帮助构建生产环境。这是一个很好的框架但是，我对 AWS 网络结构很陌生，kubernetes 对我来说也是一个新事物。我想要做的是为所有到达 kubernetes 服务的请求设置一个防火墙。如果有人入侵了 Kubernetes 中的容器，他或她就无法攻击集群中的任何其他容器。有什么想法或建议吗？

我已经使用 kops 安装了 kubernetes 集群。

从 kops 安装 kubectl 的节点一切正常（比如说节点 A）。

我正在尝试从另一台安装了 kubectl 的服务器（节点 B）连接到 kubernetes 集群。我已将 ~/.kube 从节点 A 复制到 B。但是当我尝试执行基本命令时，例如：

kubectl get pods

我越来越：

无法连接到服务器：x509：证书由未知机构签名

我的配置文件是：

感谢任何帮助

在使用 kubeadm 在一些 KVM 上尝试 kubernetes 之后，我想在 AWS 上使用kops设置一个适当的自动可扩展集群，并用它为一些网站提供服务。

令人惊叹的魔力kops create cluster ...为我提供了一堆 ec2 实例，使 k8s API 可用，test-cluster.example.com甚至配置我的本地~/.kube/config，以便我可以kubectl apply -f any-stuff.yaml立即使用。这太棒了！

我现在可以将我的部署发送到集群并配置入口规则——所有这些东西都在仪表板中可见。但是，目前还不清楚如何将集群中的节点与我拥有的域名相关联。

在我的小型 KVM k8s 中，我只需安装traefik并将其暴露在端口:80和:443. 然后我转到我的 DNS 设置并添加一些 A 记录，这些记录指向我的集群节点的公共 IP。在 AWS 中，有一组动态的虚拟机，当集群负载不重时，其中一些可能会停机。所以感觉我需要使用外部负载均衡器，因为我的traefik helm 图表服务公开了两个随机端口而不是固定的：80 和：443，但我不确定。

有什么选择？他们的成本是多少？如果域不受 AWS 控制，应该如何处理 DNS 记录？

我已经用 kops 部署了 kubernetes 集群......

部署后有什么方法可以更改节点大小吗？不删除集群...

我在访问 Kubernetes 集群上的 NodePort 服务时遇到困难。

目标

设置 ALB 入口控制器，以便我可以使用 websockets 和 http/2

根据该控制器的要求设置 NodePort 服务

采取的步骤

以前在 AWS eu-west-1 上创建了一个 Kops（版本 1.6.2）集群。添加了用于 nginx 入口的 kops 插件以及 Kube-lego。ELB 入口工作正常。

使用该项目指定的 IAM 配置文件使用自定义 AWS 密钥设置 ALB 入口控制器。

使用 kubectl replace --force 将服务类型从 LoadBalancer 更改为 NodePort

结果

来自 ALB 的卷曲挂起

卷曲从<public ip address of all nodes>:<node port for service>挂起

预期的

从 ALB 和直接到节点的卷曲：节点端口应返回 200“Ok”（服务对根的 http 响应）

Update: Issues created on github referencing above with some further details in some cases:

• https://github.com/kubernetes/kubernetes/issues/50261
• https://github.com/coreos/alb-ingress-controller/issues/169
• https://github.com/kubernetes/kops/issues/3146

我使用 kops 在 aws 上创建了一个 kubernetes 集群。kops 人所做的工作真是令人难以置信。我能够使用“kops validate cluster”成功验证它。

1. 现在我可以访问任何 UI 控制台或仪表板吗？
2. 顺便说一句，当我尝试使用公共 dns 通过 https 访问 aws 负载均衡器时，我收到了输入用户名和密码的提示。在这里输入的用户名和密码是什么？或者这是可以忽略的？

谢谢。

R

我有一个使用 Kops 在 AWS 上部署的基于 Kubernetes gossip 的工作集群。我还在本地机器上的 localhost:8001 上运行仪表板。如果我理解正确，此 URL https://kubernetes.io/docs/admin/authentication/ 提供了正确公开仪表板的不同方法。

1. 在 Internet 上公开集群仪表板的最简单和最简单的步骤是什么？
2. 使用基于 gossip 的集群有什么缺点？
3. 不使用集群时是否可以停止我的 EC2 实例？重新启动 EC2 实例时是否需要任何重新配置​​步骤？是否有必须重新启动 EC2 实例的顺序？[我意识到 3 是一个糟糕的问题，自动缩放组将导致另一个 ec2 实例为每个停止的 ec2 实例启动（kubernetes 人和 kops 人太好了，我的笑话）。那就是说当我不使用它时如何停止/启动 kubernetes 集群]/当我需要它时

我已经可以使用 kops 进行现场部署，但它需要手动编辑实例组（节点）

需要研究一种以平均现货价格 + 10% 自动执行此操作的方法

我还希望至少有 1 个主节点和 1 个节点在正常实例上运行，以在完全的现货超标关闭后幸存下来，其余的以现货价格为准。

谁能帮我这个？

我正在使用在入口规则中配置的 TLS 连接来保护我的 Kubernetes 集群，这实际上终止了负载均衡器上的 SSL 连接。到目前为止，一切都很好。

出现了一个问题，即保护从负载均衡器到 Kubernetes 集群中运行的每个服务的连接是否有意义。我对 Kubernetes 工作原理的理解是，服务应该能够动态地上升和下降，而不能保证私有 IP 保持不变，因此尝试使用 TLS 连接来保护服务是没有意义的。此外，每个服务都不能直接暴露在公共互联网上（我的配置是配置单个入口规则，而 Istio 的路由规则将负责路由到不同的服务），网络中提供了安全性层。

我的推理在概念上有什么问题吗？此外，如果我想改进集群的安全设置，是否应该考虑其他机制？Istio Auth 不适合我的用例，因为我根本没有调用其他服务的服务——我的所有服务都不会相互交互。