个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
28
4
请问如何从microk8s集群访问Kubelet API。
我看了这个url它说 Kubelet API 需要客户端证书。
所以我称之为(来自/var/snap/microk8s/current/certs)curl -v https://127.0.0.1:10250 --cert ca.crt --cert-type PEM --cacert ca.crt --key ca.key
但我收到错误消息:curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.
我该如何解决这个问题?还有,microk8s中的kubelet.crt、server.crt、ca.crt有什么区别?
谢谢!
最佳答案
尝试这个:
curl --verbose \
--cert ./server.crt \
--key ./server.key \
--insecure \
https://127.0.0.1:10250/healthz
certs 中的 CA 证书目录不是证书的签名者:10250 呈现给用户。我不知道提供的 CA 证书来自哪里,它看起来像是在轮换,因为颁发者是
CN=<servername>-ca@1567568834 (因此
--insecure )。
kube-apiserver命令行将包含 kubelet 客户端证书的确切路径(或者也可以存储在新 k8s 世界中的配置文件中)
--kubelet-client-certificate
--kubelet-client-key
$ pgrep -a kube-apiserver | perl -pe 's/ --/\n --/g'
22071 /snap/microk8s/1247/kube-apiserver
--cert-dir=/var/snap/microk8s/1247/certs
--service-cluster-ip-range=10.22.189.0/24
--authorization-mode=RBAC,Node
--basic-auth-file=/var/snap/microk8s/1247/credentials/basic_auth.csv
--service-account-key-file=/var/snap/microk8s/1247/certs/serviceaccount.key
--client-ca-file=/var/snap/microk8s/1247/certs/ca.crt
--tls-cert-file=/var/snap/microk8s/1247/certs/server.crt
--tls-private-key-file=/var/snap/microk8s/1247/certs/server.key
--kubelet-client-certificate=/var/snap/microk8s/1247/certs/server.crt
--kubelet-client-key=/var/snap/microk8s/1247/certs/server.key
--secure-port=16443
--token-auth-file=/var/snap/microk8s/1247/credentials/known_tokens.csv
--token-auth-file=/var/snap/microk8s/1247/credentials/known_tokens.csv
--etcd-servers=https://127.0.0.1:12379
--etcd-cafile=/var/snap/microk8s/1247/certs/ca.crt
--etcd-certfile=/var/snap/microk8s/1247/certs/server.crt
--etcd-keyfile=/var/snap/microk8s/1247/certs/server.key
--requestheader-client-ca-file=/var/snap/microk8s/1247/certs/front-proxy-ca.crt
--requestheader-allowed-names=front-proxy-client
--requestheader-extra-headers-prefix=X-Remote-Extra-
--requestheader-group-headers=X-Remote-Group
--requestheader-username-headers=X-Remote-User
--proxy-client-cert-file=/var/snap/microk8s/1247/certs/front-proxy-client.crt
--proxy-client-key-file=/var/snap/microk8s/1247/certs/front-proxy-client.key
关于ssl - 访问 Kubelet API Microk8s,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/60594159/
28
4
0
我正在尝试 enable a FlexVolume driver在 Ubuntu 上的 Microk8s 上。 为此,我似乎必须编辑 kubelet.service 文件。这应该存储在/etc/sys
我正在裸机 Debian 上运行 kubernetes(目前有 3 个 master、2 个worker、PoC)。我按照 k8s-the-hard-way 进行操作,但在 kubelet 上遇到了以
cgroup driver的配置在/etc/systemd/system/kubelet.service.d/10-kubeadm.conf Environment="KUBELET_CGROUP_A
环境: Kubernetes 1.12.2 Docker 18.9.0 microk8s.kubectl $ k 得到所有 NAME
Kubernetes 的节点可以按照节点的资源容量进行调度,默认情况下 Pod 能够使用节点全部可用容量。这样就会造成一个问题,因为节点自己通常运行了不少驱动 OS 和 Kubernetes 的
在运行 kubectl get nodes 等命令时出现以下错误: 与服务器 :6443 的连接被拒绝 - 您是否指定了正确的主机或端口? 我运行了 systemctl status kubelet.
我在 AWS 上安装了一堆新的 CentOS 服务器。服务 kubelet 尝试启动会污染日志文件(var/log/messages),但由于我没有用它,我想将其删除。这是 CentOS 的一个可选组
我在 kubelet 删除 docker 图像时遇到问题,因为它认为磁盘已满: Dec 29 18:00:14 hostname kubelet: I1229 18:00:14.548513 13
我想知道kubelet如何与docker容器通信。此配置在哪里定义?我进行了很多搜索,但没有发现任何有用的信息。我正在使用https kube API服务器。我可以创建 pods ,但不会产生容器吗?
https://kubernetes.io/docs/tasks/administer-cluster/reconfigure-kubelet/嗨,我在学习本教程时遇到了一些麻烦。建议使用 confi
我的两个集群节点获得 Kubelet stopped posting node status在 kubectl describe node有时。在该节点的日志中,我看到了这一点: Dec 11 12:
我在某些 kubernetes 节点上的 CentO 上遇到了 OOM 问题。我想像他们在演示中那样设置它: --kube-reserved is set to cpu=1,memory=2Gi,ep
Kubelet 出于对节点的保护,允许在节点资源不足的情况下,开启对节点上 Pod 进行驱逐的功能。最近对 Kubelet 的驱逐机制有所研究,发现其中有很多值得学习的地方,总结下来
如果我运行 systemctl restart kubelet它会影响其他正在运行的节点吗?它会停止集群吗?你能预见任何影响吗? 任何帮助,将不胜感激! 最佳答案 在回答之前,小声明:重启不是由于对
我正在尝试在 fedora 24/lxc 容器上启动 kubelet,但收到一个似乎与 libvirt/iptables 相关的错误 Docker(使用 dnf/yum 安装): [root@node
我尝试使用 堆叠我的 kubeadm 集群三 大师。我从我的 init 命令收到这个问题... [kubelet-check] Initial timeout of 40s passed. Unfor
我在我的 Ubuntu 机器上安装了 Kubernetes。出于某些调试目的,我需要查看 kubelet 日志文件(如果有任何此类文件)。 我看过 /var/logs但我找不到这样的文件。那可能在哪里
平台:OEL 7.7 + kube 1.15.5 + docker 19.03.1 我们正在使用容器化 kubelet 方法在 k8s 上构建一个纠删码对象存储。我们很难提出可行的磁盘生命周期方法。就
我有一个来自 kubelet 的奇怪行为,在集群启动后不久 kubelet 没有注册到 API 服务器。 有趣的是,如果我重新启动 kubelet 守护程序,它会正确注册并且一切都按预期工作,这让我相
我只想知道你们中的任何人以前是否曾经听过本教程并获得成功。 我不知道为什么,但是每当我在MINION端重新启动并启用服务时,它总是失败,并显示错误“kubelet.service的依赖项作业失败”,当
我是一名优秀的程序员,十分优秀!