问题标签 [kube-apiserver]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
kubernetes - kubernetes 在容器中获取 endpint
例如,在 kubernetes vm 上运行:kubectl get endpoints
如何在 pod 内获得相同的输出,我应该在 pod 内运行什么?我知道有一个 kubeapi,但我是 kubernetes 的新手,有人可以解释我如何使用它
这是我的集群角色绑定:
clusterrole.yaml:
服务帐户:
kubernetes - 在实时集群中添加 apiserver extraArgs/extraVolumes
我有一个 Kubernetes 集群 1.17,我想在 apiserver 中添加一些extraArgs和extraVolumes(如在https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/control-plane-flags/中)。通常,我会更新清单文件/etc/kubernetes/manifests/kube-apiserver.yaml以应用我的新配置,然后更新kubeadm-configConfigMap 以保留此新配置以供下一次 Kubernetes 升级(因为升级时会从此 ConfigMap 重新生成静态 pod 清单)。
是否可以只更新kubeadm-configConfigMap 然后使用类似的命令应用配置kubeadm init phase control-plane apiserver?有什么风险?
kubernetes - 如何在现有的裸机 kubernetes 集群中编辑 etcd 配置
我在一些物理 RHEL 机器上安装了一个独立的 Kuberenets 集群。
我正在经历容器etcd和kube-apiserver容器的反复崩溃。从他们的日志中,我设法猜测我需要调整 etcd 以在这种环境中更好地执行。
以下指南参考了如何调整 etcd:https ://etcd.io/docs/v3.4.0/tuning/
但是,我不确定如何在现有集群中完成。它是 Kubernetes 原生组件吗?我应该修补它的部署吗?etcd 本身已关闭,这非常困难。
错误日志片段:
等
kube-apiserver
kubernetes - 我可以从 kube-proxy pod 查询 kube-apiserver 吗?
我无法直接访问 kube-apiserver pod,但我可以访问 kube-proxy pod。我可以curl https://localhost:6443/healthz作为健康探测器运行kube-apiserver吗?
kubernetes - Kubernetes API 为默认令牌返回 401
我们部署了新的 Kubernetes 集群,当我尝试解决问题时,我发现测试 API 的链接是否正常工作。访问集群。
当我运行相同的代码片段时,它以401.
我可能需要更新我的默认令牌,或者有什么方法可以查看为什么令牌不起作用?
当我检查 api 状态时,它说Unhealthy
当我检查日志时,它继续显示blockingPicker相关消息。
kubernetes - CoreDNS 日志报告未经授权
我们部署了新的 Kubernetes 集群,它有 2 个用于 Coredns 的 Pod。
假设有 2 个副本,但 0 READY。
当我检查日志以查找未运行的原因时,我看到有许多未经授权的错误。
当我尝试在网上找到一些帮助时,我发现它使用coredns服务用户。我检查所有角色和绑定。
服务账户
代币秘密
集群角色
集群角色绑定
从未经授权的错误中,我可以预测它可能与令牌有关,例如令牌已过期且未更新。我试图在网上寻找有关如何为 Coredns 更新令牌的帮助,但没有找到任何帮助。
我可能做错了什么,但找不到。
如果 Pod 未处于Running状态,则可以使用帮助,但对于运行 pod 后未经授权的情况则不可用。
kubernetes - Docker Desktop 上的 Kubernetes 在 kube-apiserver 证书到期后无法启动
问题类型:Docker Desktop 上的 Kubernetes 由于 kuber-apiserver 证书过期而停止工作
操作系统版本/内部版本:Windows 10 版本 - 1909 和操作系统内部版本 - 18363
应用版本:Docker 桌面 3.03
重现步骤:
- 安装 Docker 桌面
- 启用 Kubernetes
- 将 Windows PC 时间提前 1 年
- Kubernetes 集群将停止工作,说 kube-apiserver 证书已过期
- 部署在 Kubernetes 集群上的应用程序/工作负载也将停止工作。
由于 Kubernetes 证书的签发期限为 1 年;1 年后,证书过期,这将破坏 Kubernetes。
需要帮助:请求有关如何在不影响 Kubernetes 和已安装应用程序的情况下更新 kube-apiserver 证书的信息
kubernetes - prometheus PQL 获取自长时间以来所有 API 调用 ot kube api 服务器的总数
有:
- Kubernetes 1.17
- prometheus-operator helm chart 从第 0 天开始安装
我想获取自 1 年以来 kube-apiserver 收到的所有成功 API 调用的总数。
我试过这个查询,但我得到误报:
如何得到这个事实?我们为这个集群举办了生日派对,我们想要生成这个事实。
ssl - 由于错误 net/http: TLS 握手超时,kubelet 服务无法使用 https 访问端口 6443 的 kube-apiserver
我正在通过集群 API 在 openstack 顶部配置一个具有一个控制平面节点和一个工作节点的工作负载集群。但是 Kubernetes 控制平面无法在控制平面节点中正常启动。
我可以看到 kube-apiserver 不断退出并重新创建:
从 kube-apiserver 容器的日志中,我可以看到“http: TLS 握手错误来自 172.24.4.159:50812: EOF”:
从 syslog 我可以看到 apiserver 服务证书已为 IP 172.24.4.159 签名:
从 syslog 我还可以看到由于“net/http: TLS 握手超时”,kubelet 服务无法访问 apiserver:
我还尝试使用 curl 访问 apiserver,我看到:
kube-apiserver 的证书有问题吗?知道如何继续进行故障排除吗?
security - 如何在 kubelet 上配置 NodeRestriction 插件?
让我们从一些上下文开始:
我正在学习 CKS 并阅读 CIS_Kubernetes_Benchmark_v1.6.0.pdf 并且有一个令人困惑的部分:
关于检查是否/etc/kubernetes/manifests/kube-apiserver.yaml有一个条目的部分 - --enable-admission-plugins=NodeRestriction,... 是有道理的,烦人的部分是
"Follow the Kubernetes documentation and configure NodeRestriction plug-in on kubelets."
很难用谷歌搜索,而 Kubernetes 官方文档并不清楚如何做到这一点。
所以现在有了上下文,问题是:
在 kube-apiserver 上设置 - 后--enable-admission-plugins=NodeRestriction,如何验证 kubelet 上的 NodeRestriction 插件是否配置正确?