问题标签 [kube-apiserver]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

115 问题
Newest
Active
Bountied
318
Unanswered
0 投票
2 回答
114 浏览

kubernetes - K8s 编译的 docker 镜像的问题

将 repo(标签 v1.14.0)克隆到本地机器后;我修改了cmd/kube-apiserver/app/server.go文件;_output/release-images/amd64/ 我添加了一行docker load -i _output/release-images/amd64/kube-apiserver.tar 新代码,这是 K8s 代码编译时的客户日志条目v1.14.0-dirty

在此处输入图像描述

现在我的问题是K8s 如何以及为什么要dirty为图像标签添加后缀? 现在,当我执行 kubeam init 时,它仍然会部署带有标签的原始图像,并且不会部署带有标签v1.14.0的新建图像v1.14.0-dirty

如何使用新建的 docker 镜像启动 K8s?

0 投票
1 回答
1165 浏览

kubernetes - 法兰绒经常重启

节点上的 Flannel 总是重新启动。

日志如下:

主配置: ubuntu: 16.04

节点:

我希望法兰绒在节点上运行正常。

0 投票
1 回答
177 浏览

kubernetes - 如何将 PodSecurityPolicy 角色绑定到组?

在单节点 Kubernetes 集群上工作,我希望将限制性 pod 安全策略应用于通过 openid 进行身份验证的一组用户。所以步骤顺序是这样的。

  1. 初始化集群,并创建 Pod 安全策略。
  2. 在 API 服务器中应用准入控制器PodSecurityPolicy(这会导致 API 服务器重新启动)
  3. 为用户创建一个ClusterRoleRoleBinding

通过 openid 对用户进行身份验证并获取他们的组效果很好,但是,限制PodSecurityPolicy到这个组不起作用。示例ClusterRoleRoleBinding在下面给出。如果我使用system:authenticated而不是mygroup策略来创建新的 pod。

  1. 如何对RoleBinding特定组做 pod 安全策略?我上面的步骤中是否有任何错误。我RoleBinding在这个组中还有其他的,它们工作得很好。
  2. 第二个问题是Flannel pod 无法启动,因为它似乎采用了阻止卷挂载等的限制性策略。我读过策略的顺序很重要,并尝试用排序的名称命名策略政策作为最后一项。如果我稍后插入策略,并PodSecurityPolicy在初始化 Flannel 后添加准入控制器,一切似乎都很好。在插入策略、准入控制器时,我们必须遵循一个顺序吗?
0 投票
1 回答
170 浏览

python - Keycloak KubeAPI 身份验证失败

在此处输入图像描述

请参考上图,我正在尝试使用 Kubernetes API 访问 Kubernetes 集群,为此目的,如文档中所述,我正在使用 Python Kuberentes 客户端,它需要一个令牌才能与之通信Kube API

当我尝试使用Kube-configKube 登录在文件中添加的令牌对用户进行身份验证时,一切正常,其中KeycloakREST API 提供的令牌会导致未授权错误。

如果有人能就这个问题提供任何见解,我会很高兴。

0 投票
1 回答
805 浏览

kubernetes - 如何将 gRPC unix socket 传递给 Kubernetes api-server

我已经实现了一个 KMS 插件 gRPC 服务器。但是,我的 api-server 无法连接到路径“/opt/mysocket.sock”处的 Unix 套接字。

如果我将我的套接字绑定到“/etc/ssl/certs/”目录。“api-server”能够访问它并通过 Unix 套接字与我的 gRPC 服务器交互,并且插件按预期工作。

我如何将我的 unix 套接字传递给 api-server,而不会仅限于“/etc/ssl/certs/”目录。

我想使用其他标准目录,如“/opt”或“/var”等。

我已按照 Google 的以下指南实施 KMS 插件。 https://kubernetes.io/docs/tasks/administer-cluster/kms-provider/

0 投票
1 回答
189 浏览

kubernetes - kube-apiserver 和代理日志中的错误

在 kube-apiserver 日志中出现此类错误:

检查了代理 pod,也有错误:

Kubernetes v1.11.1

我还注意到 kube-apiserver 内存消耗不断增长并导致主节点上的 OOM?有人遇到过这样的问题吗?

0 投票
0 回答
114 浏览

kubernetes - 更改控制平面负载均衡器地址

我们需要更改 k8s HA 集群的 controlePlaneEndpoint,因为需要更换 LB Machine。

去年,我们在 prem 上设置了 k8s HA 集群,并在集群前面使用了 kubeadm 和配置文件,如下所述https://kubernetes.io/docs/setup/independent/high-availability/#steps-对于第一个控制平面节点

集群应该使用另一个负载均衡器作为端点,而不是前一个。

0 投票
1 回答
1732 浏览

kubernetes - 使用 kops 配置集群时如何修改 kube-apiserver 参数?

kube-apiserver 没有运行

/var/log/kube-apiserver.log具有以下内容:

这些值存储/配置在哪里?

我的意思是,是源自我的 kops 配置,我现在已经对其进行了修改。但我无法反映这些变化:

0 投票
2 回答
6520 浏览

kubernetes - Kubernetes:加载 apiserver-etcd-client 证书失败:证书已过期

我无法运行任何kubectl命令,我相信这是由于 apiserver-etcd-client 证书过期造成的。

来自失败的 apiserver 容器的日志显示:

我正在使用 kubeadm 1.10,并想升级到 1.14。我能够在 GitHub 上更新问题 581中描述的几个过期证书。按照说明更新了以下密钥和证书/etc/kubernetes/pki

接下来,我尝试了:

文件在哪里kubeadm.yaml

但它返回:

此外,在/etc/kubernetes/pki/etcdca证书和密钥之外的目录中,所有剩余的证书和密钥都已过期。

有没有办法在不重建集群的情况下更新过期的证书?

systemd 启动脚本:

0 投票
1 回答
788 浏览

kubernetes - Kubernetes OIDC:组被忽略?

目前我正在尝试让 api 服务器与我的 keycloak 连接。

当我使用来自用户的 oidc 信息时,一切正常,但组似乎被忽略了 apiserver 正在使用参数运行

我添加了一个 ClusterRole 和 ClusterRoleBinding

对于我的用户“myuser”,一切正常。

但是当我将 ClusterRoleBinding 更改为 subjet Group

我收到禁止。

我尝试调试 jwt 令牌,并且该组似乎包括在内:

任何想法为什么我的组被忽略/我的 ClusterRoleBinding 不起作用?


12345678910