DS
а с дефолтным kubectl get nodes работает
так дефолтный тут причем. У тебя же kubelet в кластере зарегаться не может. С его конфигом и надо разбираться
Size: a a a
2020 October 18
DS
Для начала разобраться, аутентификация не проходит, или из-за RBAC не дает что-то делать
VV
А как это проверить?
BD
А у кубелета есть права для просмотра этого ресурса в k8s?
DS
Ну для начала прочитать ошибку, которую он выдает при использовании этого конфига.
VV
тут вот в чем момент, буквально два дня зазад все работало, а потом перестало:)))
т.Е. были права или нет, не знаю, но никто не менял ничего:)
т.Е. были права или нет, не знаю, но никто не менял ничего:)
DS
По дефолту kubelet подклюается через сертификат. Группа там system:nodes.
На эту группу по дефолту назначены clusterrole:
На эту группу по дефолту назначены clusterrole:
system:certificates.k8s.io:certificatesigningrequests:selfnodeclient и роль kubeadm:nodes-kubeadm-config,VV
Failed to list *v1.Node: nodes "localhost" is forbidden: User "system:node:localhost" cannot list resource "nodes" in API group "" at the cluster scopeFailed to list *v1beta1.CSIDriver: csidrivers.storage.k8s.io is forbidden: User "system:node:localhost" cannot list resource "csidrivers" in API group "storage.k8s.io" at the cluster scopeну и токого рода ошибок куча
DS
тут вот в чем момент, буквально два дня зазад все работало, а потом перестало:)))
т.Е. были права или нет, не знаю, но никто не менял ничего:)
т.Е. были права или нет, не знаю, но никто не менял ничего:)
это тебе не поможет решить проблему. Надо смотреть на факты
BD
Зачем вы от имени локального кубелета на ноде пытаетесь ходить в апи кубернетиса?) Вас не устраивает админский кубеконфиг?
DS
Зачем вы от имени локального кубелета на ноде пытаетесь ходить в апи кубернетиса?) Вас не устраивает админский кубеконфиг?
для проверки, работает ли вообще сертификат и ключ kubelet для подключения к apiserever . Изначально у него ошибки, что kubelet не может зарегистрироваться в api-server, поэтому я попросил проверить этот конфиг
BD
А, понял. Упустил этот момент. Вообще это в логах кубелета хорошо видно, когда подобная проблема.
BD
Аписервер в логах тоже может материться
DS
А, понял. Упустил этот момент. Вообще это в логах кубелета хорошо видно, когда подобная проблема.
так вот в логах у него он и пишет
node "localhost" not found
failed to ensure node lease exists, will retry in 7s, error: leases.coordination.k8s.io "localhost" is forbidden: User "system:node:localhost" cannot get resource ...
BD
В кубеапи наверное тоже не больше инфы(
DS
Вообще странно, нахера ему leases. Но вот localhost not found - обычно такое пишет, когда не смог в api-server зарегаться
BD
У меня было подобное, когда нода была из кластера удалена
BD
Если не ошибаюсь
BD
kubectl delete node
VV
но тогда get nodes не возвращал бы ее наверное?