解决Prometheus报错:unable to use specified CA cert /var/run/secrets/kubernetes.io/serviceaccount/ca.crt

最新推荐文章于 2023-12-18 16:28:56 发布
最新推荐文章于 2023-12-18 16:28:56 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: k8s 文章标签: k8s 监控类
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42680332/article/details/117912810
版权
本文档详细介绍了如何配置Prometheus监控Kubernetes节点状态,以及在配置过程中遇到的无法使用指定CA证书的问题。解决方案是更新Prometheus配置文件,使用k8s的CA.crt和token进行认证,并提供了配置示例和文件路径查找方法。完成配置后,通过重启服务并验证,成功监控到node节点状态。
摘要由CSDN通过智能技术生成

问题描述:
1.通过Prometheus监控k8snode节点状态,添加完配置文件,重启后发现在Prometheus界面中查看不到node节点信息。

2.查看systemctl status prometheus 发现报unable to use specified CA cert /var/run/secrets/kubernetes.io/serviceaccount/ca.crt
3.本文部署的k8s没有采用用户名密码认证,是通过token的方式认证,所以再Prometheus.yml配置文件中不能配置下面参数:

 tls_config:
        insecure_skip_verify: true
      basic_auth:
        username: admin
        password: admin

解决:将上面参数修改为下面的:

tls_config:
        ca_file: /var/run/secrets/kubernetes.io/serviceaccount/ca.crt
        insecure_skip_verify: true
      bearer_token_file: /var/run/secrets/kubernetes.io/serviceaccount/token

 # 使用方法为https、默认http
      scheme: https
      tls_config:
        # promethus访问Apiserver使用认证
        ca_file: /var/run/secrets/kubernetes.io/serviceaccount/ca.crt
        # 跳过https认证
        insecure_skip_verify: true
      # promethus访问Apiserver使用认证
      bearer_token_file: /var/run/secrets/kubernetes.io/serviceaccount/token

注意事项:

1.如果Prometheus没有和k8s主机部署到同一台上面,需要将再k8s主机上面的ca.crt和token文件传输到Prometheus主机上。
2.先要确定自己有apiserver的认证文件,验证方式是:
如果是1即可

[k8s@k8smaster1-160 root]$ kubectl get serviceaccount
NAME      SECRETS   AGE
default   1         7d4h

3.不同的安装k8s方式,对应的ca.crt路径不同。如果是二进制方式部署k8s对应的ca.crt路径可以这样查:

[root@k8smaster1-160 serviceaccount]# find / -name ca.crt
/opt/k8s/work/kubernetes/pkg/controller/certificates/signer/testdata/ca.crt

之后将这个文件路径写到 ca_file: 之后即可

token如果是二进制方式部署,查看方式是:

[k8s@k8smaster1-160 serviceaccount]$ kubectl -n kube-system describe secret $(kubectl -n kube-system get secret | grep dashboard-admin | awk '{print $1}') | grep -E '^token' 
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6Im5IS245a3pjUTZuclBOWlMzaVE3bm10LXVQTVNIcEhCMEcyazkxSkd0TEUifQ.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.MQk0aFlbRTlRITjgmL0_mNVyETqn-9ubR7qD78qF

之后将输出的token添加到对应配置参数的bearer_token_file:文件中即可:

vim  /var/run/secrets/kubernetes.io/serviceaccount/token
eyJhbGciOiJSUzI1NiIsImtpZCI6Im5IS245a3pjUTZuclBOWlMzaVE3bm10LXVQTVNIcEhCMEcyazkxSkd0TEUifQ.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.MQk0aFlbRTlRITjgmL0_mNVyETqn-9ubR7qD78qF

然后生效配置文件,重启服务即可:

systemctl daemon-reload
systemctl restart prometheus.service
systemctl status prometheus.service

浏览器即可观察到node状态:

在这里插入图片描述

王小番茄
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8sServiceAccount
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
Openshift安装helm
运维求生之路
10-16 711
参考:https://segmentfault.com/a/1190000019608181 安装helm wget https://get.helm.sh/helm-v2.14.2-linux-amd64.tar.gz tar fxz helm-v2.14.2-linux-amd64.tar.gz 1.安装tiller: oc new-project helm-tiller oc project...
KubernetesServiceAccount+Secret(超详细汇总)
热门推荐
BigData_Mining的博客
03-13 1万+
第一章、前言 每一个用户对API资源进行操作都需要通经过以下三个步骤: 第一步:对客户端访问进行认证操作,确认是否具有访问k8s权限 token(共享秘钥) SSL(双向SSL认证) ....通过任何一个认证即表示认证通过,进入下一步 第二步:授权检查,确认是否对资源具有相关的权限 ABAC(基于属性的访问控制) RBAC(基于角色的访问控制) NODE(基...
Kubernetes身份认证和授权操作全攻略:访问控制之Service Account
Rancher
09-06 874
这是本系列的最后一篇文章,前面我们了解了访问控制中的基本概念以及身份认证和授权的具体操作,本文我们将进一步了解访问控制中的service accountKubernetes中有用户和service account的概念,可用于访问资源。用户与密钥和证书相关联用于验证API请求,使用其中一个配置方案对在集群外部发起的任何请求进行身份验证。最常见的方案是通过X.509证书进行身份认证请求。有关创建...
Kubernetes 解决/var/run/secret/kubernetes.io/serviceaccount/token no such file or
看看我都干了些啥!
04-05 7260
Kubernetes 解决/var/run/secret/kubernetes.io/serviceaccount/token no such file or directory问题   kubectl get serviceaccount   NAME      SECRETS default   0   如果没有则需要添加   在apiserver的启动参数中添加: --...
k8s.gcr.io/prometheus-adapter/prometheus-adapter:v0.9.1
05-22
docker load -i prometheus-adapter-v0.9.1.tar.gz ; docker images |grep k8s.gcr.io/prometheus-adapter/prometheus-adapter
linux-monitoring.zip_Linux/Unix编程_Java_
08-11
对于系统管理员和开发者来说,有效地监控Linux系统至关重要,因为它可以帮助他们及时发现并解决问题,确保系统的正常运行。本资源"linux-monitoring.zip"包含了关于Linux系统监控的知识,特别关注了CPU、内存和磁盘I...
StreamMedia-ClusterServer.zip_Linux/Unix编程_Others_
08-11
通过监控工具(如Nagios、Prometheus)实时了解系统状态。 8. **性能优化**:可能涉及内存管理优化、I/O操作的异步处理、使用高效的媒体编码格式等。 9. **集群管理**:可能使用如Heartbeat、Pacemaker等工具实现...
从Arduino到Prometheus的出口商,以获取空气质量指标。-C/C++开发
05-27
一个简单的Arduino程序,可将PMS [1,3,5,7] 003 PlanTower传感器数据导出到Prometheus。 空气质量导出器一个简单的Arduino程序,它将PMS [1,3,5,7] 003 PlanTower传感器数据导出到Prometheus。 硬件NodeMCU ESP8266...
devops演示文件,相关博客:https://blog.csdn.net/zhanremo3062/article/detai
12-04
**持续集成(Continuous Integration)** 是一种开发实践,开发者频繁地将他们的代码更改合并到主分支,每天甚至每次提交都进行自动化的构建和测试,以尽早发现和解决问题。 **持续交付(Continuous Delivery)** ...
k8ssecret里导入证书_Kubernetes 服务Service Account 准入组件和Secret 私密凭据
weixin_39663970的博客
12-22 702
ServiceAccount 准入组件实现了Service Account 资源的自动化。Servuce Account是一种账号,但他并不是给Kubernetes的集群的用户(系统管理员、运维人员、租户用户等),而是给运行在Pod里的进程用的,它为Pod里的进程提供必要的身份证明。一、Service AccountPod中访问Kubernetes API Server服务的时候,是以Servic...
K8s 安全访问:ServiceAccount
码代码的陈同学
03-14 1401
欢迎访问博客原文 官方:Kubernetes API 访问控制 官方:K8s 认证模块 官方:管理 Service Accounts 官方:使用准入控制插件 本文介绍 ServiceAccount(服务账户,简称sa)的相关内容。 访问 K8s Api Server 需要授权,有几种角色需要访问 apiserver: 运维用户:通过 kubectl 交互,api server 会绑定一个特定...
unable to load client certificate private key file
JWheat的博客
06-12 8053
解决方法可以跳过看最后!!!o( ̄︶ ̄)o终端执行~~~openssl s_client -connect gateway.sandbox.push.apple.com:2195 -cert MyPushChat.pem -key MyPushChatKey.pem~~~报错:~~~unable to load client certificate private key file14073594...
gitlab启动报错,求助
qq_36811322的博客
01-21 683
gitlab启动报错,求助
Kubernetes-一文详解ServiceAccount与RBAC权限控制
Dragon的博客
10-01 2389
目录 一,服务帐号 1.ServiceAccount介绍 2.Secret与SA(ServiceAccount)的关系 3.默认的服务帐户 4.使用自定义SA 5.ServiceAccount中添加图片拉秘诀 二,RBAC 1.RBAC介绍 2,角色和集群角色 3,角色绑定和集群角色绑定 实践:创建一个用户只能管理称为vfan的NameSpace 一,服务帐号 1.ServiceAccount介绍 首先,Kubernetes中账户区分为:用户帐户(用户帐户)和服务帐户(服务帐
部署promethues采集kubelet数据报错:server returned HTTP status 403 Forbidden
weixin_38757398的博客
12-18 3799
笔者尝试部署手动部署promethues去采集kubelet的node节点数据信息时报错
k8sservice account
fengcai_ke的博客
07-11 3524
k8s service account分析
Kubernetes7——Secret配置管理
qwejiaji的博客
08-01 307
目录一、secret介绍二、Service Account三、Opaque Secret四、secret应用五、docker registry 一、secret介绍 k8s secrets用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量的方式访问到这些 Secret 里保存的信息了。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安
kubernetes的使用三--安装dashboard
XR风云
04-24 1507
在安装好了k8s整个环境,那我们接下来安装一个页面工具dashboard 在github下载kubernetes代码,在目录kubernetes/cluster/addons/dashboard下,有安装dashboard yaml文件 在安装前,我们需要更换下镜像,你懂得,google的镜像用不了 修改dashboard-controller.yaml 文件中的 image: gc
service account prometheus/prometheus: serviceaccount "prometheus" not found'
最新发布
06-27
这个错误信息通常出现在使用Kubernetesk8s)环境中的Prometheus监控系统时,当你尝试创建、更新或管理Prometheus ServiceAccount时。"serviceaccount \"prometheus\" not found'"意味着Kubernetes集群中没有找到名...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值