文章目录
- 环境描述
- 问题描述
- 问题原因
- 解决方案
- 额外问题
- 问题描述
- 问题解决方案
- 新问题
环境描述
- Kubernetes版本1.15
- 测试客户端centos7
问题描述
- 将构建于内网网络环境上的kubernetes集群的/etc/kubernetes/admin.conf文件拷贝到外网的一台装有kubernetes客户端的设备上,文件内容放到外网设备的~/.kube/config文件中
- 然后修改config文件中的server: https://${ip}:6443中的ip为kubernetes集群的master设备的外网IP
- 然后使用kubectl get pods 等方法去访问构建于内网IP的kubernetes集群
- 反馈结果Unable to connect to the server: x509: certificate is valid for ${kubernetes集群的内网IP列表}, not ${kubernetes集群的master设备的外网IP}
问题原因
我们的kubernetes的apiserver-advertise-address是一个内网IP,默认情况下,kubernetes自建的CA会为apiserver签发一个证书,证书的默认可访问的是内网IP、kubernetes、kubernetes.default kubernetes.default.svc、kubernetes.default.svc.cluster.local,不包含设备的外网IP。所以直接通过admin.conf去访问kubernetes是不可能的。
解决方案
- 删除当前kubernetes集群下的apiserver的cert和key
rm /etc/kubernetes/pki/apiserver.*
- 生成新的apiserver的cert和key
kubeadm init phase certs apiserver --apiserver-advertise-address ${原来的advertise ip} --apiserver-cert-extra-sans ${master的外网ip}
- 刷新admin.conf
kubeadm alpha certs renew admin.conf
- 重启apiserver(可以先delete在apply)
kubectl delete pod ${你的apiserver的pod} –n kube-system
kubectl delete –f /etc/kubernetes/manifests/kube-apiserver.yaml
kubectl apply -f /etc/kubernetes/manifests/kube-apiserver.yaml
- 在另一台装有kubernetes客户端的设备中,使用新生成的admin.conf访问集群
kubectl get nodes
额外问题
问题描述
通过/etc/kubernetes/admin.conf去访问某个kubernetes集群时,报错Unable to connect to the server: x509: certificate has expired or is not yet valid
问题解决方案
通过如下命令查看kubernetes的admin.conf中的证书的有效期,看是否有效
openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text
==================================================
新问题
通过如上方式,重新进行尝试时,发现有的时候,删除pod之后重新reply不管用
新问题的解决方案
修改完apiserver的证书,更新admin.conf后,重启master所在设备,可以解决这个问题