Kubelet组件运行在节点节点上,维持运行中的吊舱以及提供kuberntes运行时环境,主要完成以下使命:,
1。监视分配给该节点节点的pods
2。挂载舱所需要的volumes
3。下载舱的secret
4。通过码头工人/rkt来运行豆荚中的容器,
5。周期的执行豆荚中为容器定义的活性探针,
6。上报pod的状态给系统的其他组件,
7。上报节点的状态,
<强>现象强>
港镜像平台服务器出现内部错误,请求无法完成
<>强排查强>
登陆仪表板发现节点节点状态都为没有做好,然后登陆节点节点看到确实都为没有准备好,本能反应是把Kubelet, kube-proxy服务都重新一遍,重新后状态任然为也许状态。
这时细看节点节点状态年龄为368 d,感觉应该是什么过期了,之前还特意申请证书为10年,应该不是证书的问题,后来查阅部署文档发现Kubelet也需要证书授权。
<>强解决强>
最后kubectl得到csr发现果然node-csr都是悬而未决的状态,需要重新kubectl证书批准才能生效。
查资料发现默认签署的的证书只有1年有效期,如果想要调整证书有效期可以通过设置kube-controller-manager的——experimental-cluster-signing-duration参数实现,该参数默认值为8760 h0m0s关于怎样增加默认签署证书时间及自动证书轮换可以参考kubernetes认证授权机制。
<强>步骤强>
<代码> [root@k8s01本]# kubectl得到节点 的名字,,,地位的大敌;,的角色,,年龄,版本 192.168.88.34,也许,& lt; none>,368 d,v1.13.1 192.168.88.65,也许,& lt; none>,368 d,v1.13.1 (root@k8s01本)#,kubectl csr 的名字,,,,,,,,,,,,,,,,,,,,,,,,,年龄,请求者,,,,,条件 node-csr-d8End93rQqSFRHpV65KA2yL-4CnYHT4te6D85lzO5QA,18米,kubelet-bootstrap,等待 node-csr-iuBw7qxuiCeyiQ1x5WqTASgqVheII-KpTX0L-S8Md8Y,10米,kubelet-bootstrap,等待 (root@k8s01本)# kubectl证书批准node-csr-d8End93rQqSFRHpV65KA2yL-4CnYHT4te6D85lzO5QA certificatesigningrequest.certificates.k8s。io/node-csr-d8End93rQqSFRHpV65KA2yL-4CnYHT4te6D85lzO5QA批准 (root@k8s01本)# kubectl证书批准node-csr-iuBw7qxuiCeyiQ1x5WqTASgqVheII-KpTX0L-S8Md8Y certificatesigningrequest.certificates.k8s。io/node-csr-iuBw7qxuiCeyiQ1x5WqTASgqVheII-KpTX0L-S8Md8Y批准 (root@k8s01本)#,kubectl csr 的名字,,,,,,,,,,,,,,,,,,,,,,,,,年龄,请求者,,,,,条件 node-csr-d8End93rQqSFRHpV65KA2yL-4CnYHT4te6D85lzO5QA,19米,kubelet-bootstrap,批准,发行 node-csr-iuBw7qxuiCeyiQ1x5WqTASgqVheII-KpTX0L-S8Md8Y,11米,kubelet-bootstrap,批准,发行 (root@k8s01本)# kubectl得到节点 的名字,,,地位的大敌;的角色,,年龄,版本 192.168.88.34,准备好了,,& lt; none>,368 d,v1.13.1 192.168.88.65,准备好了,,& lt; none>,368 d,v1.13.1 代码>