Поэтому я вручную развернул свой кластер, и моя конфигурация API выглядит следующим образом:
[Ед. изм]
Описание=Сервер API Kubernetes
Документация=https://github.com/kubernetes/kubernetes
[Оказание услуг]
ExecStart=/usr/local/bin/kube-apiserver \
--рекламный-адрес=10.1.1.21 \
--allow-привилегированный = истина \
--apiserver-count=2 \
--audit-log-maxage=30 \
--audit-log-maxbackup=3 \
--audit-log-maxsize=100 \
--log-dir=/var/log/kubernetes/ \
--log-file=/var/log/kubernetes/kube-apiserver.log \
--log-file-max-size=500 \
--audit-log-path=/var/log/kubernetes/kube-apiserver-audit.log \
--authorization-mode=Узел,RBAC\
--bind-адрес=0.0.0.0 \
--client-ca-file=/etc/kubernetes/pki/ca/ca.crt \
--enable-admission-plugins=NodeRestriction,ServiceAccount \
--enable-bootstrap-token-auth=true \
--etcd-cafile=/etc/kubernetes/pki/ca/ca.crt \
--etcd-certfile=/etc/kubernetes/pki/etcd/etcd-server.crt \
--etcd-keyfile=/etc/kubernetes/pki/etcd/etcd-server.key \
--etcd-servers=https://master01:2379,https://master02:2379,https://master03:2379 \
--event-ttl=1ч \
--encryption-provider-config=/var/lib/kubernetes/encryption-config.yaml \
--kubelet-certificate-authority=/etc/kubernetes/pki/ca/ca.crt \
--kubelet-client-certificate=/etc/kubernetes/pki/kube-apiserver.crt \
--kubelet-client-key=/etc/kubernetes/pki/kube-apiserver.key \
--runtime-config=api/all=true \
--service-account-key-file=/etc/kubernetes/pki/service-account.crt \
--service-cluster-ip-range=10.96.0.0/24 \
--service-node-port-range=30000-32767 \
--tls-cert-file=/etc/kubernetes/pki/kube-apiserver.crt \
--tls-private-key-file=/etc/kubernetes/pki/kube-apiserver.key \
--service-account-signing-key-file=/etc/kubernetes/pki/service-account.key \
--service-account-issuer=https://kubernetes.default.svc.cluster.local \
--v=2
Перезапуск = при сбое
Рестартсек=5
[Установить]
WantedBy=многопользовательская.цель
мои 3 основных узла управления работают нормально.
Когда я пытаюсь зарегистрировать узел, используя следующие конфигурации
[Ед. изм]
Описание=Кубернетес Кубелет
Документация=https://github.com/kubernetes/kubernetes
После=докер.сервис
Требует = docker.service
[Оказание услуг]
ExecStart=/usr/local/bin/kubelet \
--config=/var/lib/kubelet/kubelet-config.yaml \
--kubeconfig=/var/lib/kubelet/kubeconfig \
--register-node=true \
--v=2
Перезапуск = при сбое
Рестартсек=5
[Установить]
WantedBy=многопользовательская.цель
кубелет-config.yaml
вид: KubeletConfiguration
apiVersion: kubelet.config.k8s.io/v1beta1
адрес: "0.0.0.0"
порт: 10250
сериализимажепуллс: ложь
выселениеHard:
память.доступно: "200Ми"
аутентификация:
анонимно:
включено: ложь
вебхук:
включено: правда
х509:
clientCAFile: "/etc/kubernetes/pki/ca/ca.crt"
авторизация:
режим: Веб-перехватчик
clusterDomain: "cluster.local"
кластерDNS:
- "10.96.0.10"
resolvConf: "/run/systemd/resolve/resolv.conf"
runtimeRequestTimeout: "15 м"
когда мои узлы зарегистрированы, вместо автоматического создания сертификата и регистрации в кластере с использованием настроенного ЦС он создает свой собственный сертификат ЦС, даже если узел является частью кластера, все коммуникации (развертывание, получение журналов и т. д.. ) терпит неудачу, потому что узел ca неизвестен в кластере...
кто-нибудь может затенить немного света?
