Kubernetes スレーブ ノードが参加に失敗するのはなぜですか?

[[398367]]

この記事はWeChatの公開アカウント「プログラマーjinjunzhu」から転載したもので、著者はjinjunzhuです。この記事を転載する場合は、プログラマーjinjunzhuの公式アカウントまでご連絡ください。

しばらく Kubernetes をいじっていませんでした。今日、Kubernetes クラスターをリセットした後、スレーブ ノードがマスター ノードに参加できませんでした。問題と解決策を皆さんと共有したいと思います。

私のローカル Kubernetes クラスターには、以下に示すように、マスター ノードとスレーブ ノードが含まれています。

質問

マスター ノードが起動したら、次のコマンドを使用してノードから参加します。

 kubeadmは192.168.59.149:6443 に参加します--token nf2hbm.h1d67djxey0jv90h --discovery-token-ca-cert-hash sha256:12e71102d6f44c85c1717079f26c36a706cb11894c36af6d055fa39036e805ae  

しばらく待つと、次のエラーが報告されました。

実行フェーズのプリフライトエラー: API サーバーのID を検証できませんでした: 5 分 0 秒のタイムアウト後にAPI サーバーへの接続を中止します

ログは完了していません。詳細なログを表示するには、コマンドの後に --v=5 を追加して再実行します。次の失敗ログが繰り返し印刷されます。

クラスター情報の要求に失敗しました: [Get https://192.168.59.149:6443/api/v1/namespaces/kube- public /configmaps/cluster-info?timeout=10s: x509: 証明書の有効期限が切れているか、  は まだ有効ではありません。

トラブルシューティング

トークンの有効期限が切れました

最初に思い浮かぶのは、トークンの有効期限が切れているということです。トークンを確認します。コマンドと出力は次のとおりです。

 [root@master ~]# kubeadm トークンリスト
ブートストラップトークンの一覧表示に失敗しました: https://192.168.59.149:6443/api/v1/namespaces/kube-system/secrets?fieldSelector=type%3Dbootstrap.kubernetes.io%2Ftoken を取得: x509: 証明書は不明な機関によって署名されています (おそらく 候補認証局証明書「kubernetes」の検証中に「crypto/rsa: 検証エラー」が発生しました。

この出力は少し奇妙です。インターネットではメモリが足りないと言われました。メモリをチェックしましたが、余裕があります。

 [root@master ~]# free -h
              使用可能な使用済み空き共有バフ/キャッシュの合計
メモリ: 3.7G 1.1G 132M 30M 2.4G 2.1G
スワップ: 0B 0B 0B

出力を注意深く確認したところ、x509 が見つかりました。以前の解決策を思い出し、次の 3 つのコマンドを実行しました。

 mkdir -p $HOME/.kube
 sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
 sudo chown $(id -u):$(id -g) $HOME/.kube/config

トークンをもう一度確認してください。大丈夫です。出力は次のようになります。

 kubeadm トークン リスト
トークン TTL 有効期限 使用法 説明 追加グループ
o898hy.0y2s6cqsidpwmbkh 23h 2021-05-10T23:26:55+08:00 認証、署名デフォルトのブートストラップトークンは  'kubeadm init' 。システム:ブートストラップ:kubeadm:デフォルト-node-token

トークンと秘密キーを再生成します。コマンドと出力は次のとおりです。

 [root@master ~]# kubeadm トークン作成 
翻訳元
[root@master ~]# openssl x509 -pubkey - /etc/kubernetes/pki/ca.crt内| openssl rsa -pubin -outform der 2>/dev/ null | openssl dgst -sha256 -hex | 's/^.* //' をsed します 
 12e71102d6f44c85c1717079f26c36a706cb11894c36af6d055fa39036e805ae

生成後、新しいトークンと秘密鍵を使用してスレーブノードで join コマンドを実行し続けますが、問題は解決しません。

時間の問題

Kubernetes トークンは 24 時間有効ですが、秘密キーは新しく生成されるため期限切れにはなりません。

システム時間に何か問題がありますか?システム時間をチェックして問題を発見しました。システム時間は次のとおりです。

マスターノードのシステム時間:

 [root@master ~]#日付 
 2021年5月10日月曜日 07:22:42 CST

2021年5月10日月曜日 07:22:42 CST

スレーブノードのシステム時間:

 [root@worker1 ~]#日付 
 2021年5月9日日曜日 11:22:28 EDT

マスターノードの時刻はスレーブノードより遅れており、それが問題です。

問題を解決する

マスターノードとスレーブノードで次のコマンドを実行します。

 [root@master ~]# ntpdate ntp1.aliyun.com
 5月9日 23:23:00 ntpdate[39100]: ステップ時間サーバー 120.25.115.20 オフセット -28801.403856 秒
 
 [root@worker1 ~]# ntpdate ntp1.aliyun.com
 5月9日 11:23:18 ntpdate[22420]:タイムサーバー120.25.115.20のオフセットを-0.001241秒に調整

今は時間が一定です。

トークンと秘密鍵を再生成すると、問題は解決します。