kubernetes运维---kubectl无法查看日志

已于 2022-05-05 16:01:41 修改
阅读量4.4k 收藏 4
点赞数 1
分类专栏: kubernetes运维 文章标签: kubernetes 运维 kubelet
于 2022-05-05 15:59:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34391821/article/details/124589891
版权

一,场景

无法通过kubectl 命令查看应用pod日志,报error: You must be logged in to the server (the server has asked for the client to provide credentials ( pods/log nginx-test-795d659f45-k7gn5))错误。

二,排错步骤

(1)首先查看节点状态是否Ready状态,状态显示为Ready,这里大概率说明客户端没有问题。

(2)查看kubelet是否禁掉匿名访问,一般kubelet默认允许匿名访问,即--anonymous-auth=true,如果将--anonymous-auth设置为false,即--anonymous-auth=false,那么kubelet作为服务端时,即其他服务访问kubelet的10250端口时需要提供证书,所以先查看kubelet是否禁掉了匿名访问。

vim /etc/kubernetes/kubelet-conf.yml

可以看到kubelet配置文件里匿名访问已经禁止。

(3)查看apiserver是否配置访问证书

cat /usr/lib/systemd/system/kube-apiserver.service

[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/kubernetes/kubernetes
After=network.target

[Service]
ExecStart=/usr/local/bin/kube-apiserver \
      --v=2  \
      --logtostderr=true  \
      --allow-privileged=true  \
      --bind-address=0.0.0.0  \
      --secure-port=6443  \
      --insecure-port=0  \
      --advertise-address=192.168.0.83 \
      --service-cluster-ip-range=10.96.0.0/12  \
      --service-node-port-range=30000-32767  \
      --etcd-servers=https://192.168.0.81:2379,https://192.168.0.82:2379,https://192.168.0.83:2379 \
      --etcd-cafile=/etc/etcd/ssl/etcd-ca.pem  \
      --etcd-certfile=/etc/etcd/ssl/etcd.pem  \
      --etcd-keyfile=/etc/etcd/ssl/etcd-key.pem  \
      --client-ca-file=/etc/kubernetes/pki/ca.pem  \
      --tls-cert-file=/etc/kubernetes/pki/apiserver.pem  \
      --tls-private-key-file=/etc/kubernetes/pki/apiserver-key.pem  \
      --service-account-key-file=/etc/kubernetes/pki/sa.pub  \
      --service-account-signing-key-file=/etc/kubernetes/pki/sa.key  \
      --service-account-issuer=https://kubernetes.default.svc.cluster.local \
      --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname  \
      --enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,NodeRestriction,ResourceQuota  \
      --authorization-mode=Node,RBAC  \
      --enable-bootstrap-token-auth=true  \
      --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-client-ca.pem  \
      --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.pem  \
      --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client-key.pem  \
      --requestheader-allowed-names=aggregator  \
      --requestheader-group-headers=X-Remote-Group  \
      --requestheader-extra-headers-prefix=X-Remote-Extra-  \
      --requestheader-username-headers=X-Remote-User
      # --token-auth-file=/etc/kubernetes/token.csv

Restart=on-failure
RestartSec=10s
LimitNOFILE=65535

[Install]
WantedBy=multi-user.target

查看整个配置文件发现没有配置--kubelet-client-certificate,--kubelet-client-key这两个参数,至此问题基本找到了。

(4)根据ca根证书,生成kubelet-client-certificate及kubelet-client-key对应文件,参考命令如下:

cfssl gencert   -ca=/etc/kubernetes/pki/ca.pem   -ca-key=/etc/kubernetes/pki/ca-key.pem   -config=ca-config.json   -hostname=xxx   -profile=kubernetes   apiserver-csr.json | cfssljson -bare /etc/kubernetes/pki/apiserver

生成文件后在apiserver文件里配置,然后重启kube-apiserver服务。

三,根因描述

在执行kubectl logs pods时,kubectl与apiserver交互,apiserver在以客户端的身份请求pod所在节点的kubelet服务,由于kubelet禁止匿名访问,而apiserver没有配置访问证书导致请求无法通过kubelet认证,然后报上述错误。

四,参考链接

Kubernetes 中的证书工作机制 (baidu.com)

疯清扬2022
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Failed to connect to apiserver: the server has asked for the clieto provide credentials
风水道人
08-02 1433
Failed to connect to apiserver: the server has asked for the clieto provide credentials
mysql错误码解释
weixin_33910434的博客
12-25 6225
OS error code 1: Operation not permitted OS error code 2: No such file or directory OS error code 3: No such process OS error code 4: Interrupted system call OS error code 5: Inp...
windows10使用Minikube安装kubernetes
我是guyue,guyue就是我O(∩_∩)O
01-20 1万+
Tutorial : Getting Started with Kubernetes on your Windows Laptop with Minikube   https://rominirani.com/tutorial-getting-started-with-kubernetes-on-your-windows-laptop-with-minikube-3269b54a226
kubernetes通过kubectl无法查看日志问题处理过程
Welcome my blog
07-11 4297
## 问题现象 输入: ``` kubectl logs --tail 200 -f -n xxx pod-name-xxxx. ``` 返回结果: ``` error: You must be logged in to the server (the server has asked for the client to provide credentials (get nodes)) ``` ## 已知信息 1. kubernetes版本:1.17.2 2. 证书前不久已更新 ## 排查过程 看到这个报错
k8s内部署应用后 kubectl logs看不到日志的问题(已解决)
最新发布
qq_45716509的博客
03-15 252
项目打包后通过外挂configmap配置文件(application.yml)的方式运行deploy,然后用kubectl logs查看pod日志,发现没有springboot启动等信息,只有一些指定参数打印的GC日志;如图:外挂配置文件到容器内的文件名为application.yml,并同时指定了使用此配置文件启动springboot–spring.config.location=“外挂进入容器的application.yml”;
apache 和 tomcat 的整合 备忘
yanjunlu的专栏
09-05 1369
apache 和 tomcat的整合,网上很多文章,我采用了proxy_ajp_module 的方式.但是我按照他们说的都没成功,后来无意中发现, 相关的配置要在 httpd.conf 和 httpd-vhosts.conf 里都要写才有效。不解! 我用的apache 2.2 ,tomcat 6.0.35  httpd.conf # # This is the main Apach
hue的部署 - 关联大数据实战第一课
zhikanjiani的博客
07-04 772
...
K8S kubelet logs报错
08-24 1773
1.error: You must be logged in to the server (the server has asked for the client to provide credentials ( pods/log nginx-7bb7cd8db5-v756s))处理方法:kubelet配置文件配置默认用户权限如图:2.Error from server (F...
解决: You must be logged in to the server (the server has asked for the client to provide credentials)
weixin_43959963的博客
08-03 632
我用的工具是SSH Term Pro, App Store 六块钱永久.先这样, 再这样, 然后那样, 最后再这样一下就好了哈哈哈。
K8S报error: You must be logged in to the server错误
为梦想奋斗
02-17 2618
本地服务器部署的K8S突然报error: You must be logged in to the server错误,导致无法执行管理命令, 通过执行以下环境变量声明可解决该问题,为方便可加入(.bashrc里) export KUBECONFIG=/etc/kubernetes/admin.conf 该错误原先是没有的,不知道为什么现在需要这样声明,可能是升级版本造成。 ...
Kubernetes Pod中使用Service Account访问API Server
大树叶 技术专栏
11-25 7151
Kubernetes API Server是整个Kubernetes集群的核心,我们不仅有从集群外部访问API Server的需求,有时,我们还需要从Pod的内部访问API Server。 然而,在生产环境中,Kubernetes API Server都是“设防”的。在《Kubernetes集群的安全配置》一文中,我提到过:Kubernetes通过client cert、static t
error: You must be logged in to the server (Unauthorized)报错解决
a1308422754的博客
07-06 3万+
公司内部k8s集群里的服务器登陆之后在master节点查看各个节点状态出现报错 error: You must be logged in to the server (Unauthorized) 错误:您必须登录到服务器(未经授权) 这个应该是权限问题 之前有了解到k8s集群是由kubedam部署的 但是我目前只了解二进制和yum安装的方式. 经过查阅资料找到了配置身份认证的文件vim /etc/kubernetes/admin.conf 发现如下内容 current-context: kubernet
error: You must be logged in to the server (Unauthorized)报错处理
漠效的博客
08-05 7021
报错 k8s error: You must be logged in to the server (Unauthorized) https://blog.csdn.net/GX_1_11_real/article/details/114290457 error: You must be logged in to the server (Unauthorized)
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统
11-02
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统生产案例-03-kibana索引模式创建与.mp4
Linux运维-04-日志分析-日志监控ELK-day03-生产案例及G
11-02
Linux运维-04-日志分析-日志监控ELK-day03-生产案例及Git版本控制-06-版本控制系统简介.mp4
helm 错误the server has asked for the client to provide credentials
weixin_30650039的博客
08-17 2885
一、造成错误的原因 不小心把helm的RBAC权限文件删除了。虽然重新apply了RBAC配置,但是已经无法使用helm install了。 二、解决方法 把运行的tiller的pod干掉,让他自动重启。 kubectl delete pod -n kube-system tiller-deploy-7674c4c47c-r9ghw 转载于:https://w...
ocp-1Z0-082
qq_36369239的博客
05-04 3175
C、私有临时表和全局临时表都有ON COMMIT DELETE ROWS和ON COMMIT PRESERVE ROWS的两种分类(delete rows用于事务相关,也就在事务结束后truncate data in the temporary table,preserve rows表示在会话结束后清除临时表的数据)A、不可用索引会自动删除segment,但是索引分区后,某个分区的索引不可用,其它索引段还在的。B、私有临时表这个特性18C才引入。答案: B E F。答案: A B D。
Kubernetes安全专家认证 (CKS)1.20模拟题英文版答案
热门推荐
爱死亡机器人
06-04 10万+
CKS Simulator Kubernetes 1.20 https://killer.sh Pre Setup Once you’ve gained access to your terminal it might be wise to spend ~1 minute to setup your environment. Set these: alias k=kubectl ​ export do="–dry-run=client -o yaml" # like short for dry output
把运行在 Docker 容器内的 Microsoft SQL 服务器部署到 SAP Kyma 中
SAP 资深技术专家 Jerry Wang 的技术分享
06-10 355
在阅读这篇文章之前,Jerry 假设您已经读过了这篇在 Docker 里运行 Microsoft SQL 服务器。 本地项目地址:C:\Code\referenceCode\SAP Kyma教程例子 参考链接:https://developers.sap.com/tutorials/cp-kyma-mssql-deployment.html#42706edb-619b-43f4-9b3e-3179f149e565 secret.yaml 定义了数据库的用户名和密码。 pvc.yaml 定义了一个 Pers
k8s(kubernetes)相关重要知识点运维笔记
07-24
### 回答1: k8s(Kubernetes)是一个开源的容器编排平台,用于自动化容器部署、扩展和管理。下面是一些与k8s相关的重要知识点运维笔记。 1. 容器化技术:k8s基于容器化技术,可以将应用程序及其依赖项封装到容器中,实现隔离和轻量级部署。熟悉Docker等容器化工具是使用k8s的先决条件。 2. 集群架构:k8s由Master和Worker节点组成,Master节点负责管理和控制集群,而Worker节点负责承载应用程序容器。了解集群架构和组件的功能是进行k8s运维的重要基础。 3. 资源管理:k8s通过Pod、Deployment、ReplicaSet等资源对象实现应用程序的管理。Pod是最小的可部署单元,可以包含一个或多个容器。Deployment用于定义和控制Pod的副本数和版本更新等。 4. 服务发现和负载均衡:k8s提供了Service对象用于服务发现和负载均衡。Service定义了一组Pod的访问入口,并通过ClusterIP、NodePort或LoadBalancer等方式实现内部和外部的访问。 5. 存储管理:k8s支持各种存储卷插件,包括本地存储、NFS、AWS EBS等。使用存储卷可以将应用程序中的数据持久化,并实现数据的共享和迁移。 6. 配置管理:k8s提供了ConfigMap和Secret等对象用于管理应用程序的配置和敏感信息。ConfigMap用于存储配置数据,而Secret用于存储敏感信息如密码和API密钥。 7. 监控和日志:k8s集成了多种监控和日志工具,如Prometheus、Grafana和EFK(Elasticsearch、Fluentd、Kibana)等。通过这些工具可以实时监控和分析应用程序的性能和日志信息。 8. 自动扩展:k8s可以根据应用程序的负载情况自动进行扩展。通过Horizontal Pod Autoscaler(HPA)等机制,可以根据CPU利用率或其他指标自动调整Pod的副本数。 9. 更新和回滚:k8s支持应用程序的版本更新和回滚。通过Deployment的滚动升级策略,可以实现应用程序的无缝更新,并在出现问题时快速回滚到之前的版本。 10. 故障排除和调试:k8s提供了一些工具和命令行工具,如kubectlkubectl logs等,用于进行故障排查和调试。掌握这些工具的使用方法对于运维k8s集群是必要的。 以上是一些与k8s相关的重要知识点和运维笔记,对于熟练掌握k8s的运维人员来说,这些知识点是必备的。当然,k8s是一个非常广泛且庞大的平台,还有很多其他方面的知识和技能需要进一步学习和掌握。 ### 回答2: Kubernetes(简称K8s)是一种用于自动化容器化应用程序部署、扩展和管理的开源容器编排工具。以下是关于Kubernetes相关重要知识点的运维笔记: 1. 集群架构:Kubernetes由Master和Node组成。Master负责集群管理,包括调度、监控、管理配置等,而Node是运行容器的主机。 2. Pod:Pod是Kubernetes最小的可调度和管理的单元,它可以包含一个或多个容器。Pod共享网络和存储资源,可以通过共享文件和通信进行协作。 3. 命名空间(Namespace):命名空间用于将集群内的资源进行隔离,可以避免不同应用程序之间的冲突。 4. 控制器(Controller):控制器用于实现自动化操作和管理,如应用部署、副本数监控、故障恢复等。常见的控制器包括ReplicaSet、Deployment、StatefulSet等。 5. 服务(Service):Service是一种抽象,用于定义一组Pod的访问方式。它为一组Pod分配固定的虚拟IP,并提供负载均衡和服务发现功能。 6. 存储卷(Volume):存储卷用于持久化数据,确保数据在容器重启或迁移时不丢失。Kubernetes支持多种存储类型,如本地存储、网络存储、云存储等。 7. 扩展机制:Kubernetes提供了多种扩展机制,如水平Pod自动伸缩(HPA)、自定义资源定义(CRD)、自定义控制器等,可以根据需求灵活扩展和定制。 8. 监控和日志Kubernetes提供了丰富的监控和日志功能,可以通过Prometheus、Elasticsearch等工具对集群中的资源和应用进行监视和记录。 9. 网络和服务发现:Kubernetes为容器提供了多种网络模型,并集成了服务发现机制。可以通过Ingress、LoadBalancer等方式将容器暴露到集群外部。 10. 安全和认证授权:Kubernetes提供了多种安全机制,如RBAC、TLS等,用于认证和授权用户的访问权限,确保集群的安全性。 这些是Kubernetes运维中的重要知识点,掌握了这些知识对于有效管理和运维Kubernetes集群至关重要。 ### 回答3: 1. k8s是一种开源的容器编排和管理平台,用于自动化应用程序的部署、扩展和管理。 2. k8s中的基本组件包括Master节点和Worker节点。Master节点负责管理整个集群的状态和配置信息,Worker节点负责运行容器。 3. k8s中的最小调度单位为Pod,一个Pod是一个或多个相关容器的组合,它们共享存储、网络和名称空间。 4. Replication Controller是k8s中用于复制和扩展Pod的机制,它可以确保指定数量的Pod在任何时间都运行在集群中。 5. Service是k8s中用于将Pod组织成服务的机制,提供一个稳定的IP地址和DNS名称,使得其他Pod或外部用户可以访问服务。 6. Volume是k8s中用于持久化数据的机制,允许容器访问与它们的生命周期无关的存储。 7. k8s支持多种网络插件,如Flannel、Calico和Weave等,用于在集群中实现容器之间的网络通信。 8. k8s可以通过Horizontal Pod Autoscaler实现根据负载自动进行Pod的扩缩容。它根据定义的指标监控集群的负载,并在负载过高或过低时自动调整Pod数量。 9. k8s支持滚动更新,可以在不中断服务的情况下逐步更新应用程序的版本。 10. k8s提供了丰富的监控和日志收集机制,如Heapster和ELK Stack等,帮助用户监控和分析集群的状态和性能。 11. k8s还支持命名空间的概念,可以将集群划分为多个逻辑上独立的区域,以实现更好的资源隔离和管理。 12. k8s支持灵活的部署方式,可以在公有云、私有云或裸机上部署,同时支持自建集群和托管集群。 13. k8s有丰富的命令行工具和API,方便用户进行集群的管理和操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值