我完全拆除了 v1.13.1 集群，现在正在使用 calico cni v3.8.0 运行 v1.15.0。所有 pod 都在运行：

但是，当我查看端点时，我得到以下信息：

如果我查看 apiserver 的日志，我会收到大量 TLS 握手错误，大致如下：

这些 IP 地址来自先前集群中的节点。我已经删除了它们并kubeadm reset在所有节点上做了一个，包括主节点，所以我不知道为什么会出现这些。我认为这就是为什么 和 的端点controller-manager显示scheduler为<none>.

我无法弄清楚如何更改我的 kube-apiserver。我从 azure AKS 使用的当前版本是 1.13.7。

以下是我需要更改 kubernetes 中的 kube-apiserver 的内容。

kube-apiserver 进程接受一个参数 --encryption-provider-config 来控制 API 数据在 etcd 中的加密方式。

此外，我找不到 kube-apiserver。

Yaml 文件格式化

我试图应用这个 yaml 文件，但我得到的错误如下。

错误：无法识别“examplesecret.yaml”：版本“apiserver.config.k8s.io/v1”中类型“EncryptionConfiguration”没有匹配项

在 azure 中创建了 aks 集群。使用示例加密 yaml 文件。预计能够创建休息秘密。我得到的结果无法创建。

我无法启动需要特权安全上下文的 pod。PodSecurityPolicy：

集群角色：

集群角色绑定：

不确定是否需要，但我已将 PodSecurityContext 添加到 args/kube-apiserver--enable-admission-plugins

任何建议和见解都值得赞赏。WTF 是这样的：“看起来你的帖子主要是代码；请添加更多细节。” ！？！

我试图寻找可以提供有关存储在 apiserver 中的 Kubernetes 事件信息的指标或导出器。

在这里阅读内容：

https://docs.datadoghq.com/integrations/kube_apiserver_metrics/

https://www.sumologic.com/blog/how-to-monitor-kubernetes/

我找不到与我的用例相关的任何内容。

对此的任何帮助将不胜感激。

我使用 kubeadm 引导一个 kubernetes 集群。几个月不活动后，当我得到正在运行的 pod 时，我意识到 kube-apiserver 卡在 CreatecontainerError 中！

我删除了这个 pod 以重新启动它，但仍然出现同样的问题。

更多信息 ：

如果需要任何其他信息，请告诉我。

我怎样才能让它正常运行？

如果我在重启后使用 kubectl 命令，我会收到错误消息。xxxx: 6443 was denied - 你指定了正确的主机或端口吗？

如果我用 docker ps 检查我的容器，kube-apiserver 和 kube-scheduler 会打开和关闭。

为什么会这样？

root@taeil-linux:~# systemctl status kubelet

root@taeil-linux:~# systemctl status kube-apiserver

如果我尝试 docker logs

背景

我正在尝试通过kubeadm. 我通常通过以下方式创建（测试）集群：

这个参数似乎最终会进入到 controllerManager ( /etc/kubernetes/manifests/kube-controller-manager.yaml) 的静态 pod 定义中：

较大部分sudo vim /etc/kubernetes/manifests/kube-controller-manager.yaml：

问题一：

如何--pod-network-cidr=10.244.0.0/16通过配置文件传递此设置，即kubeadm init --config my_config.yaml？我在非官方的 K8S 文档 wiki 上找到了一个示例配置文件模板，但我似乎根本找不到任何将这些命令行参数映射kubeadm到它们的kubeadm_config.yaml等价物的文档。

还有一个文档显示了我如何创建基线静态 pod 定义/yaml via kubeadm config print init-defaults > kubeadm_config.yaml，但同样，没有文档显示如何pod-network-cidr通过修改和应用此yaml文件进行设置（即kubeadm upgrade -f kubeadm_config.yaml）。

的样本输出kubeadm config view：

问题2：

我怎么能做到以上，但通过类似的东西--experimental-cluster-signing-duration=0h30m0s？我想尝试手动/自动更新所有kubeadm相关证书的测试。

我建立了一个基于 Kubernetes 的自助服务平台，我们为每个团队创建命名空间，并允许他们“在命名空间内做任何他们想做的事情”（我们设置了资源限制，所以没有人可以杀死整个集群）。

但是，现在我想在整个组织中实施某种标准。例如，我希望每个 PodSpec 定义它自己的资源限制，并且我希望每个资源都有一个标签来指定它属于哪个应用程序。

是否有一种机制允许 API 服务器根据一组规则检查正在应用的清单，如果检查失败，则清单被拒绝。

例如，以下清单将被拒绝，因为它既没有标签也没有设置资源限制。

但是以下清单会成功，因为它满足所有规则：

如此处所述，这是在 kubernetes e2e 测试中使用的 webhook 服务器的参考实现。在main函数中，定义了许多端点来处理不同的突变请求。但是，没有关于何时调用哪个端点的明确文档。

那么，我们如何知道何时调用了哪个端点呢？

运行 Docker for Windows 时，日志中的详细kube-apiserver程度相对较低。由于 k8s 节点托管在 VM 中，因此在哪里更改默认配置并不明显。