k8s练习(四)

最新推荐文章于 2023-12-07 09:48:30 发布
最新推荐文章于 2023-12-07 09:48:30 发布
阅读量523 收藏
点赞数
文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45034687/article/details/125110292
版权

1、Kubectl suddenly stops responding to your commands. Check it out! Someone recently modified the /etc/kubernetes/manifests/etcd.yaml file

You are asked to investigate and fix the issue. Once you fix the issue wait for sometime for kubectl to respond. Check the logs of the ETCD container.

A:
The certificate file used here is incorrect. It is set to /etc/kubernetes/pki/etcd/server-certificate.crt which does not exist. As we saw in the previous questions the correct path should be /etc/kubernetes/pki/etcd/server.crt.

>root@controlplane:~# ls -l /etc/kubernetes/pki/etcd/server* | grep .crt
-rw-r--r-- 1 root root 1188 May 20 00:41 /etc/kubernetes/pki/etcd/server.crt
root@controlplane:~#

Update the YAML file with the correct certificate path and wait for the ETCD pod to be recreated. wait for the kube-apiserver to get to a Ready state.

NOTE: It may take a few minutes for the kubectl commands to work again so please be patient.

2、The kube-api server stopped again! Check it out. Inspect the kube-api server logs and identify the root cause and fix the issue.

Run docker ps -a command to identify the kube-api server container. Run docker logs container-id command to view the logs.

A:
如果我们在控制面上检查kube-apiserver容器,我们可以看到它经常退出

root@controlplane:~# docker ps -a | grep kube-apiserver
8af74bd23540        ca9843d3b545           "kube-apiserver --ad…"   39 seconds ago      Exited (1) 17 seconds ago                          k8s_kube-apiserver_kube-apiserver-controlplane_kube-system_f320fbaff7813586592d245912262076_4
c9dc4df82f9d        k8s.gcr.io/pause:3.2   "/pause"                 3 minutes ago       Up 3 minutes                                       k8s_POD_kube-apiserve-controlplane_kube-system_f320fbaff7813586592d245912262076_1
root@controlplane:~#

如果我们现在检查这个退出的容器的日志,我们将看到以下错误:

root@controlplane:~# docker logs 8af74bd23540  --tail=2
W0520 01:57:23.333002       1 clientconn.go:1223] grpc: addrConn.createTransport failed to connect to {https://127.0.0.1:2379  <nil> 0 <nil>}. Err :connection error: desc = "transport: authentication handshake failed: x509: certificate signed by unknown authority". Reconnecting...
Error: context deadline exceeded
root@controlplane:~#

这说明kube-apiserver使用的ETCD CA证书有问题。修改为使用/etc/kubernetes/pki/etcd/ca.crt文件
保存YAML文件之后,等待kube-apiserver pod准备就绪。这可能需要几分钟

3、I would like to use the dev-user to access test-cluster-1. Set the current context to the right one so I can do that.

Once the right context is identified, use the kubectl config use-context command.

oot@controlplane ~ ➜  kubectl config --kubeconfig=/root/my-kube-config use-context research  #设置
Switched to context "research".

root@controlplane ~ ➜  kubectl config --kubeconfig=/root/my-kube-config current-context #查看
research

4、What are the resources the kube-proxy role in the kube-system namespace is given access to?

root@controlplane ~ ➜  kubectl describe role -n kube-system kube-proxy 
Name:         kube-proxy
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources   Non-Resource URLs  Resource Names  Verbs
  ---------   -----------------  --------------  -----
  configmaps  []                 [kube-proxy]    [get]

5、Which account is the kube-proxy role assigned to?

root@controlplane ~ ➜  kubectl describe rolebinding kube-proxy -n kube-system
Name:         kube-proxy
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  Role
  Name:  kube-proxy
Subjects:
  Kind   Name                                             Namespace
  ----   ----                                             ---------
  Group  system:bootstrappers:kubeadm:default-node-token

6、A user dev-user is created. User’s details have been added to the kubeconfig file. Inspect the permissions granted to the user. Check if the user can list pods in the default namespace.

Use the --as dev-user option with kubectl to run commands as the dev-user.

root@controlplane ~ ➜  kubectl get pods --as dev-user
Error from server (Forbidden): pods is forbidden: User "dev-user" cannot list resource "pods" in API group "" in the namespace "default"

7、Create the necessary roles and role bindings required for the dev-user to create, list and delete pods in the default namespace.

Use the given spec:

Role: developer

Role Resources: pods

Role Actions: list

Role Actions: create

Role Actions: delete

RoleBinding: dev-user-binding

RoleBinding: Bound to dev-user

root@controlplane ~ ➜  kubectl create role developer --verb=list,create,delete --resource=pods
role.rbac.authorization.k8s.io/developer created

root@controlplane ~ ➜  kubectl create rolebinding  dev-user-binding  --role=developer --user=dev-user
rolebinding.rbac.authorization.k8s.io/dev-user-binding created

注:创建了证书之后,为了让这个用户能访问 Kubernetes 集群资源,现在就要创建 Role 和 RoleBinding 了。

下面是为这个新用户创建 Role 的示例命令:

kubectl create role developer --verb=list,create,delete --resource=pods

下面是为这个新用户创建 RoleBinding 的示例命令

 kubectl create rolebinding  dev-user-binding  --role=developer --user=dev-user

8、How many network policies do you see in the environment?

root@controlplane ~ ➜  kubectl get networkpolicies
NAME             POD-SELECTOR   AGE
payroll-policy   name=payroll   2m58s

9、Create a network policy to allow traffic from the Internal application only to the payroll-service and db-service.

Use the spec given below. You might want to enable ingress traffic to the pod to test your rules in the UI.

CheckCompleteIncomplete
Policy Name: internal-policy

Policy Type: Egress

Egress Allow: payroll

Payroll Port: 8080

Egress Allow: mysql

MySQL Port: 3306

在这里插入图片描述
vim internal-policy.yaml

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: internal-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      role: internal
  policyTypes:
    - Egress
  egress:
    - to:
      - podSelector:
          matchLabels:
            name: payroll
      ports:
        - protocol: TCP
          port: 8080 
    - to:
         - podSelector:
             matchLabels:
               name: mysql
      ports: 
        - protocol: TCP
          port: 3306
婷子1921
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
最新版K8S cks 1.24 EXAM练习备考必备
11-03
最新版K8S cks 1.24 EXAM练习备考必备
grpc: addrConn.resetTransport failed to create client transport: connection error: desc = “transport
weixin_44623921的博客
05-13 1375
grpc: addrConn.resetTransport failed to create client transport: connection error: desc = "transport: Error while dialing dial tcp: lookup orderer.wyucampus.com on 127.0.0.11:53: no such host"; Reconnecting to {orderer.wyucampus.com:7050 <nil>}
gRPC-go源码(2):ClientConn
热门推荐
inet_ygssoftware的博客
06-07 3万+
gRPC-go源码(2):ClientConn 摘要 在上一篇文章中,我们聊了聊gRPC是怎么管理一条从Client到Server的连接的。 我们聊到了gRPC拥有Resolver,用来解析地址;拥有Balancer,用来做负载均衡。 在这一篇文章中,我们将从代码的角度来分析gRPC是怎么设计Resolver和Balancer的,并会从头到尾的梳理一遍连接是怎么建立的。 1 DialContext DialContext是客户端建立连接的入口函数,我们看看在这个函数里面做了哪些事情: func DialCo
docker无法启动,报错grpc: addrConn.createTransport failed to connect to {unix:///run/containerd/containerd.
福大大架构师每日一题
07-31 8060
删除/var/lib/docker/和/var/lib/containerd/这两个文件夹,重起docker服务。docker无法启动,报错。k8s的pod镜像加载失败。
Golang GRPC简单使用
ALakers的博客
08-10 470
什么是gRPC? rpc框架一般基于tcp或者http协议实现。基于http的rpc框架有许多优点,HTTP/1.x协议简单明了,是目前最流行的应用层协议,有着非常成熟且完善的各种基础设施,如负载均衡、监控、代理等,适用性广泛,各个设备系统均有实现。但是缺点也很明显,就是HTTP/1.x采用的是文本协议,解析速度慢,带宽占用高。而且request/response的通信方法导致整体效率不高。gRPC基于HTTP2协议,HTTP2 使得grpc 能够更好的适用于移动客户端和服务端通信的使用场景,并且连接多路.
docker无法启动,报错grpc: addrConn.createTransport failed to connect to
ayushu的博客
05-16 2792
docker无法启动,报错grpc: addrConn.createTransport failed to connect to {unix:///run/containerd/containerd.sock 0 }: didn’t receive server preface in time. Reconnecting…尝试这些步骤后,如果仍然无法连接到containerd.sock套接字文件,请检查’/var/run/containerd/containerd.sock’文件是否存在。
实测:重启服务器之后k8s启动失败报错Unable to connect to the server:x509: certificate has expired or is not yet valid
sfdst的博客
03-07 6595
文章目录1 问题描述(kubeadm证书/etcd证书过期处理)2 集群恢复方法3 手动替换apiserver证书3.1 备份证书和配置3.2 自备的kube-config.yaml文件4 通过脚本一键更新证书(本次通过脚本更新证书)5 启用自动轮换kubelet证书5.1 增加kubelet参数5.2 增加controller-manager参数5.3 创建rbac对象 1 问题描述(kubeadm证书/etcd证书过期处理) 重启了服务器,发现k8s启动失败,一直报错连接 Unable to regis
dotnet core 3.1 gRPC win7 NotSupportedException: HTTP/2 over TLS is not supported on Windows 7 due
ddsthinkyou123的专栏
05-23 1155
启动时报了2个错: 1、 AggregateException: One or more errors occurred. (HTTP/2 over TLS is not supported on Windows 7 due to missing ALPN support.) (HTTP/2 over TLS is not supported on Windows 7 due to missing ALPN support.) 2、NotSupportedException...
K8s 异常问题处理
Jerry00713的博客
12-01 8760
问题1:etcd、apiserver启动异常 现象: [root@hdss7-22 supervisord.d]# supervisorctl status etcd-server-22 FATAL Exited too quickly (process log may have details) kube-apiserver-7-22 FATAL Exited too quickly (proce...
kubernetes集群初始化kubeadm启动失败
peony的博客
04-20 1万+
前提 建议先看一下错误是否一致,再看解决方案。由于我是初学者,在大量的百度之后也学会了一些排查方式。 点我直接看结果 环境 腾讯云centos7 启动命令 kubeadm init –apiserver-advertise-address=ip –kubernetes-version v1.18.0 –service-cidr=10.96.0.0/12 –pod-network-cidr=10.244.0.0/16 排查过程 首先这是失败的报错 [wait-control-plane] Waitin
k8s 认证 cka-模拟环境资料
01-05
文章《K8s 认证工程师 CKA 考题分析和题库练习》中需要用到的文件资料!里面包含 addon.tar.gz、etcd-v3.4.13-linux-amd64.tar.gz、metrics.yaml、metrics-server-amd64-0-3-6.tar.gz 4 个文件。
k8s-for-docker-desktop.rar
03-08
在windows10,windows7下搭建所需的k8s镜像,免去下载,墙的问题,适合在开发机器上练习
k8s-into
02-25
k8s-into 这些是Kuberntetes的介绍和为Chapter Time准备的动手练习。 :概述 :Kubernetes服务 :控制器和部署 :作业 :Helm简介(正在建设中) 参考 Kubernetes kubectl Kubernetes备忘 包括Docker Engine,...
使用 kubeadm 命令创建单 Master K8S集群.md
09-14
快速部署k8s集群,适合新手练习k8s集群做测试
grpc介绍及go使用grpc详解
一弓虽的博客
05-11 1036
grpc介绍及go使用grpc
gRPC 客户端创建和调用原理
m0_46083365的博客
03-04 695
gRPC 客户端创建流程 1.1 背景 1.2 业务代码示例 1.3 RPC 调用流程 1.3.1 客户端调用总体流程 1.3.2 ManagedChannel 创建流程 1.3.3 ClientCall 创建流程 1.3.4 基于 Netty 的 HTTP/2 Client 创建流程 1.3.5 HTTP/2 连接创建流程 1.3.6 负载均衡策略 1.3.7 RPC 请求消息发送流程 1.3...
grpc客户端连接源码解读
shanxiaoshuai的博客
10-02 1769
最近在做grpc连接池的优化,正巧之前只是粗略地读了一些grpc的源码,借这个机会把相关grpc的源码认真读一读,更深入地理解grpc客户端连接的参数,帮助优化grpc连接池。
[gRPC实现go调用go]
最新发布
qq_45467608的博客
12-07 1303
下载Protocol Buffers:https://github.com/protocolbuffers/protobuf/releases检查安装//定义了我们使用的Protocol Buffers版本。simple";//***在java端请注释本行***//表明我们定义了一个命名为Simple的服务(接口),内部有一个远程rpc方法,名字为SayHello。//我们只要在server端实现这个接口,在实现类中书写我们的业务代码。在client端调用这个接口。//请求的结构体。
记录 k8s 遇到的问题
qq_15138049的博客
01-22 2476
记录k8s遇到的问题
k8s证书认证考试资料
09-17
K8s证书认证考试是Kubernetes官方提供的一项认证考试,旨在评估考生对Kubernetes的深入理解和运维能力。参加该考试需要准备相应的资料,以下是关于K8s证书认证考试资料的介绍。 1. Kubernetes官方文档:K8s官方提供了完整且详细的文档,其中包含了所有相关的技术细节和使用方法,是考生准备考试的重要参考资料。可以从官方网站或Github上获取相关文档。 2. 学习资料:K8s证书认证考试有很多学习资料可供选择,包括书籍、教程、视频课程等。考生可以根据自己的学习习惯选择合适的学习资料进行学习和复习。 3. 练习题:在准备考试的过程中,考生可以通过练习题来巩固所学知识并了解自己的复习情况。可以在官方文档中找到一些示例题目,也可以参考一些第三方网站提供的K8s练习题目。 4. 实践经验:K8s是一种实践性较强的技术,仅仅依靠理论知识是远远不够的。考生需要通过实践来加深对Kubernetes的理解和熟悉操作。可以通过搭建本地的K8s实验环境,模拟真实场景进行操作和调试。 总之,准备K8s证书认证考试需要系统学习相关知识并进行实践。通过官方文档、学习资料、练习题和实践经验的综合运用,考生可以更好地备考和应对考试。同时,坚持不懈地学习和实践也是获得K8s证书认证的关键。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值