Это проблема с kubeadm, где он генерирует kubelet сертификаты на узлах под /var/lib/kubelet/pki (_3 _, _ 4_), подписанные другим CA, отличным от того, который использовался для мастера (ов) под /etc/kubernetes/pki (ca.crt). Справочная информация здесь. Вам нужно будет повторно сгенерировать сертификаты для ваших кубелетов, подписанные ЦС на мастере (ах) /etc/kubernetes/pki/ca.crt
Вы можете подписаться на что-то вроде this. Например, используйте cfssl.
Что-то вроде этого:
$ mkdir ~/mycerts; cd ~/mycerts
$ cp /etc/kubernetes/pki/ca.crt ca.pem
$ cp /etc/kubernetes/pki/ca.key ca-key.pem
Создайте файл kubelet-csr.json примерно так:
{
"CN": "kubernetes",
"hosts": [
"127.0.0.1",
"<your-node-name>",
"kubernetes",
"kubernetes.default",
"kubernetes.default.svc",
"kubernetes.default.svc.cluster",
"kubernetes.default.svc.cluster.local"
],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [{
"C": "US",
"ST": "NY",
"L": "City",
"O": "Org",
"OU": "Unit"
}]
}
Создайте ca-config.json файл:
{
"signing": {
"default": {
"expiry": "8760h"
},
"profiles": {
"kubernetes": {
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
],
"expiry": "8760h"
}
}
}
}
Создайте config.json файл:
{
"signing": {
"default": {
"expiry": "168h"
},
"profiles": {
"www": {
"expiry": "8760h",
"usages": [
"signing",
"key encipherment",
"server auth"
]
},
"client": {
"expiry": "8760h",
"usages": [
"signing",
"key encipherment",
"client auth"
]
}
}
}
}
Сгенерируйте сертификаты:
$ cfssl gencert -ca=ca.pem -ca-key=ca-key.pem \
--config=ca-config.json -profile=kubernetes \
kubelet-csr.json | cfssljson -bare kubelet
Скопируйте файлы на свои узлы:
$ scp kubelet.pem <node-ip>:/var/lib/kubelet/pki/kubelet.crt
$ scp kubelet-key.pem <node-ip>:/var/lib/kubelet/pki/kubelet.key
Перезапустите кубелет на своем узле:
$ systemctl restart kubelet
PD. Открыл это, чтобы отследить проблему.
person
Rico
schedule
09.11.2018
