сделай, для начала openssl x509 -in /etc/kubernetes/pki/<NODECERTFILE> -noout -text

Посмотри, какие значения у полей CN и O (должны быть system:node:localhost и system:nodes)

/var/lib/kubelet/pki/kubelet-client-current.pem

этот?

+

Дальше надо проверить RBAC

в config.yaml ты можешь посмотреть какой там kubeconfig, а в kubeconfig какой сертификат

что-то типа

kubectl get clusterrolebinding -oyaml | grep -C 20 'system:node'

и посмотреть, что там будет

думаешь если сертификат не подходит оно connection refused делает? А почему просто не 403 или 401? как -то странно, надо чекнуть

Сертификат, вероятно, верный, но юзер, которому выдан серт не имеет прав

удивительное дело, но голый куб поднятый hard way не имеет по дефолту ролей для system:nodes

Поэтому новые хосты, которые подключаешь не имеют прав зарегаться в апи.

Вот я и думаю, вдруг тут какая-нибудь чёрная магия, типа роли выданы на конкретные ноды, а не на всю группу system:nodes

Нет, разве коннекшн рефузд? Мне казалось, это уже другой человек с другой проблемой был где коннекшн рефузед

ну я у себя посмотрел там clusterrole: system:certificates.k8s.io:certificatesigningrequests:selfnodeclient, и role: kubeadm:nodes-kubeadm-config.
И там нет доступа к list nodes. Но я проверил, с конфигом от kubelet, kubectl get nodes действительно можно сделать. Теперь сижу, разбираюсь почему =)

там в логах на patebin смотри

Oct 17 22:18:50 localhost kubelet[883]: E1017 22:18:50.867942     883 certificate_manager.go:400] Failed while requesting a signed certificate from the master: cannot create certificate signing request: Post https://78.46.45.146:6443/apis/certificates.k8s.io/v1beta1/certificatesigningrequests: dial tcp 78.46.45.146:6443: connect: connection refused

а, я начал дебажить по исходным сообщениям, до этого не вник

В /var/lib/kubelet/config.yaml не вижу оттсылки на kubeconfig

хм, но это прям мегастранно

а разве он сам не является кубконфигом?

тогда там не отссылки на сертифкат:))))