解决k8s集群 Unable to connect to the server: x509: certificate is valid for xxx, not xxx问题
为了能使本地能连接k8s集群更好的测试client-功能,在服务器上为本地签发了kubeconfig文件,放到本地之后出现如下的错误。从上面可以看出ip中并没有报错信息中的192.168.2.8这个IP地址,所以需要重新生成(截图为修改好的)。1、查看apiserver证书信息(master节点)为了保险起见,这里选择将证书移动到其他位置。3、生成新的apiserver证书。
·
为了能使本地能连接k8s集群更好的测试client-功能,在服务器上为本地签发了kubeconfig文件,放到本地之后出现如下的错误。
通过查阅资料发现了一个kubectl的参数--insecure-skip-tls-verify,加上这个参数之后确实好使了,但是,总是感觉治标不治本,所以经过一番查阅是apiserver的证书中没有添加192.168.2.8这个ip导致的,需要重新生成一下证书,具体操作如下:
1、查看apiserver证书信息(master节点)
# cd /etc/kubernetes/pki
# openssl x509 -noout -text -in apiserver.crt |grep IP
从上面可以看出ip中并没有报错信息中的192.168.2.8这个IP地址,所以需要重新生成(截图为修改好的)。
2、删除旧证书
为了保险起见,这里选择将证书移动到其他位置。
# mkdir -pv /opt/cert
# mv apiserver.* /opt/cert3、生成新的apiserver证书
# kubeadm init phase certs apiserver \
--apiserver-advertise-address 172.19.8.107 \
--apiserver-advertise-address 172.19.8.100 \
--apiserver-cert-extra-sans 127.0.0.1 \
--apiserver-cert-extra-sans 172.16.0.1 \
--apiserver-cert-extra-sans 0:0:0:0:0:0:0:1 \
--apiserver-cert-extra-sans 172.19.8.106 \
--apiserver-cert-extra-sans 172.19.8.107 \
--apiserver-cert-extra-sans 192.168.2.8 \
--apiserver-cert-extra-sans 180.168.9.2
--apiserver-cert-extra-sans参数后可以加上需要添加的IP地址,这里为了省事儿一次性添加了多个,具体情况按需添加即可。4、检查证书
# ls apiserver.*
# apiserver.crt apiserver.key
通过检查可以看到新的证书已经成了,现在只需要重启apiserver即可。如果出现问题,可以删除新的证书,将老的证书移回原位,重启apiserver即可。
5、重启服务
# kubectl get pod -n kube-system
# kubectl delete pod kube-apiserver-gc-k8s-prod-master-1 -n kube-system
# kubectl delete pod kube-apiserver-gc-k8s-prod-master-2 -n kube-system
# kubectl delete pod kube-apiserver-gc-k8s-prod-master-3 -n kube-system
如果是kube-apiserver重启(首先确认kube-apiserver Pod在那个node节点上,保证该节点有kube-apiserver.yaml中所需的pki文件)
# cd /etc/kubernetes/manifests
# kubectl delete -f kube-apiserver.yaml
# kubectl apply -f kube-apiserver.yaml
K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容
更多推荐
0
0- 0
已为社区贡献1条内容
所有评论(0)