码农知识堂 - 1000bd
  •   Python
  •   PHP
  •   JS/TS
  •   JAVA
  •   C/C++
  •   C#
  •   GO
  •   Kotlin
  •   Swift
  • Unable to connect to the server: x509: certificate is valid for问题解决


    文章目录

      • 环境描述
      • 问题描述
      • 问题原因
      • 解决方案
      • 额外问题
        • 问题描述
        • 问题解决方案
        • 新问题

    环境描述

    • Kubernetes版本1.15
    • 测试客户端centos7

    问题描述

    1. 将构建于内网网络环境上的kubernetes集群的/etc/kubernetes/admin.conf文件拷贝到外网的一台装有kubernetes客户端的设备上,文件内容放到外网设备的~/.kube/config文件中
    2. 然后修改config文件中的server: https://${ip}:6443中的ip为kubernetes集群的master设备的外网IP
    3. 然后使用kubectl get pods 等方法去访问构建于内网IP的kubernetes集群
    4. 反馈结果Unable to connect to the server: x509: certificate is valid for ${kubernetes集群的内网IP列表}, not ${kubernetes集群的master设备的外网IP}

    问题原因

    我们的kubernetes的apiserver-advertise-address是一个内网IP,默认情况下,kubernetes自建的CA会为apiserver签发一个证书,证书的默认可访问的是内网IP、kubernetes、kubernetes.default kubernetes.default.svc、kubernetes.default.svc.cluster.local,不包含设备的外网IP。所以直接通过admin.conf去访问kubernetes是不可能的。

    解决方案

    1. 删除当前kubernetes集群下的apiserver的cert和key
      rm /etc/kubernetes/pki/apiserver.*
    2. 生成新的apiserver的cert和key
      kubeadm init phase certs apiserver --apiserver-advertise-address ${原来的advertise ip} --apiserver-cert-extra-sans ${master的外网ip}
    3. 刷新admin.conf
      kubeadm alpha certs renew admin.conf
    4. 重启apiserver(可以先delete在apply)
    kubectl delete pod ${你的apiserver的pod} –n kube-system
    kubectl delete –f /etc/kubernetes/manifests/kube-apiserver.yaml
    kubectl apply -f /etc/kubernetes/manifests/kube-apiserver.yaml
    
    • 1
    • 2
    • 3
    1. 在另一台装有kubernetes客户端的设备中,使用新生成的admin.conf访问集群
      kubectl get nodes

    额外问题

    问题描述

    通过/etc/kubernetes/admin.conf去访问某个kubernetes集群时,报错Unable to connect to the server: x509: certificate has expired or is not yet valid

    问题解决方案

    通过如下命令查看kubernetes的admin.conf中的证书的有效期,看是否有效
    openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text

    ==================================================

    新问题

    通过如上方式,重新进行尝试时,发现有的时候,删除pod之后重新reply不管用

    新问题的解决方案
    修改完apiserver的证书,更新admin.conf后,重启master所在设备,可以解决这个问题

  • 相关阅读:
    最新AI智能写作创作系统源码V2.6.4/AI绘画系统/支持GPT联网提问/支持Prompt应用
    (附源码)小程序 音乐播放器小程序 毕业设计 170900
    HTML+CSS鲜花静态网页设计
    Spring 容器加载Bean过程分析
    Probability Theory
    PHP 在线考试管理系统mysql数据库web结构layUI布局apache计算机软件工程网页wamp
    windows mysql5.7 开启binlog日志
    ASP.NET CORE 项目搭建(2022 年 3 月版)[一]
    数据地图搜索功能模块项目总结【springBoot+Elasticsearch】
    DHCP原理与配置
  • 原文地址:https://blog.csdn.net/doublepg13/article/details/134001276
  • 最新文章
  • 【JVM】编译执行与解释执行的区别是什么?JVM 使用哪种方式?
    用 Hashids 优雅解决 C 端自增 ID 暴露问题
    V8引擎 精品漫游指南--Ignition篇(上) 指令 栈帧 槽位 调用约定 内存布局 基础内容
    LLVM Pass快速入门(四):代码插桩
    milkup:桌面端 markdown AI续写和即时渲染
    基于项目工程构建SBOM(软件物料清单)的研究
    鸿蒙应用开发UI基础第二节:鸿蒙应用程序框架核心解析与实操
    .NET 中如何快速实现 List 集合去重?
    扣子Coze实战:从0到1打造抖音+小红书热点监控智能体
    浅谈数据访问层
  • 热门文章
  • 十款代码表白小特效 一个比一个浪漫 赶紧收藏起来吧!!!
    奉劝各位学弟学妹们,该打造你的技术影响力了!
    五年了,我在 CSDN 的两个一百万。
    Java俄罗斯方块,老程序员花了一个周末,连接中学年代!
    面试官都震惊,你这网络基础可以啊!
    你真的会用百度吗?我不信 — 那些不为人知的搜索引擎语法
    心情不好的时候,用 Python 画棵樱花树送给自己吧
    通宵一晚做出来的一款类似CS的第一人称射击游戏Demo!原来做游戏也不是很难,连憨憨学妹都学会了!
    13 万字 C 语言从入门到精通保姆级教程2021 年版
    10行代码集2000张美女图,Python爬虫120例,再上征途
小工具 小游戏
Copyright © 2022 侵权请联系2656653265@qq.com    京ICP备2022015340号-1

京公网安备 11010502049817号