aws eks节点的初始化引导和鉴权逻辑

最新推荐文章于 2024-07-19 18:51:47 发布
最新推荐文章于 2024-07-19 18:51:47 发布
阅读量1.3k 收藏 30
点赞数 46
文章标签: aws 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_41567654/article/details/139154118
版权

参考资料

  • https://juejin.cn/post/7016472622246395934
  • eks安全最佳实践,https://aws.github.io/aws-eks-best-practices/security/docs/iam/

kubernetes集群的kubelet的启动引导

按照官方文档和相关资料的说法,kubelet加入集群通常会进行csr的自动审批,这被称作启动引导令牌(Bootstrap Tokens)认证

kubelet会寻找kubeconfig文件,如果没找到则

  • 寻找bootstrap-kubeconfigw文件开始引导过程
  • 使用bootstrap-kubeconfigw文件中的api server url和token(有限权限)进行身份认证
  • 创建和取回证书签名请求(CSR),此时kube-controller-manager会自动批复该 CSR
  • kubelet 取回签发的证书,创建 kubeconfig文件,包含密钥和已签名的证书

在使用kubeadm初始化control plane时日志中的信息和引导配置一致

https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/kubelet-tls-bootstrapping/#bootstrap-initialization

[apiclient] All control plane components are healthy after 15.003839 seconds
[upload-config] Storing the configuration used in ConfigMap "kubeadm-config" in the "kube-system" Namespace
[kubelet] Creating a ConfigMap "kubelet-config-1.18" in namespace kube-system with the configuration for the kubelets in the cluster
[upload-certs] Skipping phase. Please see --upload-certs
[bootstrap-token] Using token: 47wg36.zm1tr8lfosat2943
[bootstrap-token] Configuring bootstrap tokens, cluster-info ConfigMap, RBAC Roles
[bootstrap-token] configured RBAC rules to allow Node Bootstrap tokens to get nodes
[bootstrap-token] configured RBAC rules to allow Node Bootstrap tokens to post CSRs in order for nodes to get long term certificate credentials
[bootstrap-token] configured RBAC rules to allow the csrapprover controller automatically approve CSRs from a Node Bootstrap Token
[bootstrap-token] configured RBAC rules to allow certificate rotation for all node client certificates in the cluster
[bootstrap-token] Creating the "cluster-info" ConfigMap in the "kube-public" namespace
[kubelet-finalize] Updating "/etc/kubernetes/kubelet.conf" to point to a rotatable kubelet client certificate and key

同样,kubelet启动时需要以下参数来完成初始化

  • --cert-dir="/var/lib/kubelet/pki",path to store the key and certificate it generates (optional, can use default)
  • --kubeconfig="/var/lib/kubelet/kubeconfig",A path to a kubeconfig file that does not yet exist; it will place the bootstrapped config file here
  • --bootstrap-kubeconfig="/var/lib/kubelet/bootstrap-kubeconfig",A path to a bootstrap kubeconfig file to provide the URL for the server and bootstrap credentials, e.g. a bootstrap token
  • Optional: instructions to rotate certificates

其中/var/lib/kubelet/bootstrap-kubeconfig文件的内容格式如下

  • user字段下使用一个token进行身份认证
  • certificate-authority由kubelet用来验证apiserver的服务器证书

https://kubernetes.io/docs/reference/access-authn-authz/kubelet-tls-bootstrapping/#kubelet-configuration

apiVersion: v1
kind: Config
clusters:
- cluster:
    certificate-authority: /var/lib/kubernetes/ca.pem
    server: https://my.server.example.com:6443
  name: bootstrap
contexts:
- context:
    cluster: bootstrap
    user: kubelet-bootstrap
  name: bootstrap
current-context: bootstrap
preferences: {}
users:
- name: kubelet-bootstrap
  user:
    token: 07401b.f395accd246ae52d

对于kubeconfig文件

在启动 kubelet 时,如果 --kubeconfig 标志所指定的文件并不存在,会使用通过标志 --bootstrap-kubeconfig 所指定的启动引导 kubeconfig 配置来向 API 服务器请求客户端证书。 在证书请求被批复并被 kubelet 收回时,一个引用所生成的密钥和所获得证书的 kubeconfig 文件会被写入到通过 --kubeconfig 所指定的文件路径下。 证书和密钥文件会被放到 --cert-dir 所指定的目录中

引导节点拿到的证书是kubelet客户端证书,用来和apiserver通信。kubelet也可以作为服务向外暴露,证书的来源有

  • 使用通过 --tls-private-key-file--tls-cert-file 所设置的密钥和证书
  • 如果没有提供密钥和证书,则创建自签名的密钥和证书
  • 通过 CSR API 从集群服务器请求服务证书

配置完成后最终kubelet使用该kubeconfig文件和apiserver通信,注意这个文件名叫做kubelet-client-current.pem

apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: LS0tLS1CRUdJTiBDRVJUSUZJQ0F...
    server: https://192.168.1.10:6443
  name: test-cluster
contexts:
- context:
    cluster: test-cluster
    user: system:node:test-cluster-node-1
  name: system:node:test-cluster-node-1
current-context: system:node:test-cluster-node-1
kind: Config
preferences: {}
users:
- name: system:node:test-cluster-node-1
  user:
    client-certificate: /var/lib/kubelet/pki/kubelet-client-current.pem
    client-key: /var/lib/kubelet/pki/kubelet-client-current.pem

eks集群的kubelet启动引导

eks节点使用bootstrap启动脚本来完成kubelet的初始化,启动的完整参数如下

  • 没有指定--bootstrap-kubeconfig,意味着不需要进行TLS token的初始化

    /usr/bin/kubelet --cloud-provider aws --image-credential-provider-config /etc/eks/ecr-credential-provider/ecr-credential-provider-config --image-credential-provider-bin-dir /etc/eks/ecr-credential-provider --config /etc/kubernetes/kubelet/kubelet-config.json --kubeconfig /var/lib/kubelet/kubeconfig --container-runtime remote --container-runtime-endpoint unix:///run/containerd/containerd.sock --node-ip=192.168.27.37 --pod-infra-container-image=918309763551.dkr.ecr.cn-north-1.amazonaws.com.cn/eks/pause:3.5 --v=2

  • /var/lib/kubelet/pki/路径下存在证书

    -rw------- 1 root root 1378 May 20 04:41 kubelet-server-2023-05-20-04-41-35.pem
lrwxrwxrwx 1 root root   59 May 20 04:41 kubelet-server-current.pem -> /var/lib/kubelet/pki/kubelet-server-2023-05-20-04-41-35.pem

我们启动一个新的eks优化ami查看这些路径下有无这些文件,

aws ec2 run-instances --image-id ami-0b779daxxxxxf1 \
	--instance-type m4.large \
	--key-name temp-key \
	--count 1 \
    --subnet-id subnet-027xxxxxxxx60acdd \
    --security-group-ids sg-096xxxxxx7e9 \
    --tag-specifications 'ResourceType=instance,Tags=[{Key=Name,Value=testtmp}]' 'ResourceType=volume,Tags=[{Key=Name,Value=testena}]'

查看kubeconfig实际上是由bootstrap替换得到的

$ cat /var/lib/kubelet/kubeconfig
apiVersion: v1
kind: Config
clusters:
- cluster:
    certificate-authority: /etc/kubernetes/pki/ca.crt
    server: MASTER_ENDPOINT
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: kubelet
  name: kubelet
current-context: kubelet
users:
- name: kubelet
  user:
    exec:
      apiVersion: client.authentication.k8s.io/v1beta1
      command: /usr/bin/aws-iam-authenticator
      args:
        - "token"
        - "-i"
        - "CLUSTER_NAME"
        - --region
        - "AWS_REGION"

/var/lib/kubelet/pki/路径下并无文件,因此实际上是通过kubelet启动时生成的

通常的eks节点kubelet启动日志

我们修改并额外指定kubelet启动参数为/var/lib/kubelet/bootstrap-kubeconfig

mv /var/lib/kubelet/kubeconfig /var/lib/kubelet/bootstrap-kubeconfig
KUBELET_EXTRA_ARGS="--bootstrap-kubeconfig /var/lib/kubelet/bootstrap-kubeconfig $KUBELET_EXTRA_ARGS"

此时kubelet无法启动,等待客户端证书签发

/var/lib/kubelet/pki/多了一个文件kubelet-client.key.tmp

  • kubelet生成cliet私钥,使用该私钥生成csr
  • 之后向apiserver发送csr,请求公钥证书验证签名
$ ll
total 8
-rw------- 1 root root  227 May 20 05:59 kubelet-client.key.tmp

再次重启kubelet,仍旧保持同样的结果

手动通过csr

$ kubectl get csr
node-csr-NvE0ty-HnP-dA435aze3oo3ubHfHI70ZX_9fTIss0Z0
[ec2-user@ip-172-31-22-99 ~]$ kubectl certificate approve node-csr-NvE0ty-HnP-dA435aze3oo3ubHfHI70ZX_9fTIss0Z0
certificatesigningrequest.certificates.k8s.io/node-csr-NvE0ty-HnP-dA435aze3oo3ubHfHI70ZX_9fTIss0Z0 approved

此时kubelet显示csr已经通过,等待签发证书,但是这一步显然是不行的(可能会绕过sts)

"Waiting for client certificate to be issued"
certificate signing request node-csr-NvE0ty-HnP-dA435aze3oo3ubHfHI70ZX_9fTIss0Z0 is approved, waiting to be issued

由于eks的apiserver我们看不到,因此无从知晓kubelet的集权是怎么完成的,目前推测和serviceaccount类似都是使用webhook的方式完成的。

接下来,进入节点并停止kubelet服务,手动使用预置参数启动kubelet

# /usr/bin/kubelet --config /etc/kubernetes/kubelet/kubelet-config.json --kubeconfig /var/lib/kubelet/kubeconfig --container-runtime-endpoinunix:///run/containerd/containerd.sock --image-credential-provider-config /etc/eks/image-credential-provider/config.json --image-credential-provider-bin-dir /etc/eks/image-credential-provider --node-ip=192.168.31.153 --pod-infra-container-image=918309763551.dkr.ecr.cn-north-1.amazonaws.com.cn/eks/pause:3.5 --v=2 --cloud-provider=aws --container-runtime=remote --node-labels=eks.amazonaws.com/sourceLaunchTemplateVersion=1,alpha.eksctl.io/cluster-name=test124,alpha.eksctl.io/nodegroup-name=test124-ng6,eks.amazonaws.com/nodegroup-image=ami-0b779da1a68e38cf1,eks.amazonaws.com/capacityType=ON_DEMAND,eks.amazonaws.com/nodegroup=test124-ng6,eks.amazonaws.com/sourceLaunchTemplateId=lt-0adf6b991b5366a98 --max-pods=58

查看kubelet日志

  • 确实存在csr申请和kubelet证书签发

    server.go:1175] "Started kubelet"
server.go:155] "Starting to listen" address="0.0.0.0" port=10250
...
log.go:198] http: TLS handshake error from 192.168.9.40:33148: no serving certificate available for the kubelet
...
csr.go:261] certificate signing request csr-2blqg is approved, waiting to be issued
csr.go:257] certificate signing request csr-2blqg is issued

certificate_manager.go:270] kubernetes.io/kubelet-serving: Certificate expiration is 2024-05-19 08:05:00 +0000 UTC, rotation deadline is 2024-04-09 08:32:10.925495309 +0000 UTC
certificate_manager.go:270] kubernetes.io/kubelet-serving: Waiting 7800h21m57.699693545s for next certificate rotation
certificate_manager.go:270] kubernetes.io/kubelet-serving: Certificate expiration is 2024-05-19 08:05:00 +0000 UTC, rotation deadline is 2024-02-19 02:05:12.905986938 +0000 UTC
certificate_manager.go:270] kubernetes.io/kubelet-serving: Waiting 6593h54m58.680004839s for next certificate rotation

  • 查看证书内容,kubelet的用户组是system:nodes, 用户名为system:node:ip-192-168-31-153.cn-north-1.compute.internal。kube-apiserver就可以基于Node Authorizer来限制kubelet只能读取和修改本节点上的资源

    $ sudo openssl x509 -noout -text -in /var/lib/kubelet/pki/kubelet-server-current.pem
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            2c:26:45:8d:d2:56:39:64:33:b4:b0:c6:6f:82:e7:66:14:f7:55:b9
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=kubernetes
        Validity
            Not Before: May 20 08:05:00 2023 GMT
            Not After : May 19 08:05:00 2024 GMT
        Subject: O=system:nodes, CN=system:node:ip-192-168-31-153.cn-north-1.compute.internal
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub:
                    04:25:36:df:f1:44:30:00:f7:62:43:7a:f3:cc:21:
                    22:ee:ed:40:40:0c:0b:28:2c:87:16:4f:bd:9b:c5:
                    70:83:e3:15:8a:2c:b9:f1:94:ca:53:95:d8:ee:42:
                    b4:21:ab:85:a6:25:0f:71:b8:2d:c6:b2:08:ce:e0:
                    d9:d1:c3:87:a0
                ASN1 OID: prime256v1
                NIST CURVE: P-256

这之后逻辑上kubelet会使用这个证书访问apiserver,但是实际上并没有用到这个证书。为了验证我们手动将/var/lib/kubelet/pki下的文件全部删除

rm -rf /var/lib/kubelet/pki

但是经过一段时间后,节点并没有进入not ready状态,并且没有任何影响

那么接下来的问题在于

(1)如果不需要客户端证书,那为什么还需要申请呢?

目前看来是由于kubelet需要对外暴露服务,所以通过 CSR API 从集群服务器请求服务证书

https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/kubelet-tls-bootstrapping/#client-and-serving-certificates

kubelet同样对外暴露了HTTPS服务,其客户端主要是kube-apiserver和一些监控组件,如metric-serverkube-apiserver需要访问kubelet来获取容器的日志和执行命令(kubectl logs/exec), 监控组件需要访问kubelet暴露的cadvisor接口来获取监控信息

kubelet在启动时,如果没有指定服务端证书路径,会创建一个自签的CA证书,并使用该CA为自己签发服务端证书

kubelet配置文件配置serverTLSBootstrap为true就可以启用这项特性,在eks节点上kubelet确实配置为"serverTLSBootstrap": true

也就是说,这里为kubelet签发的并不是客户端证书,而是服务端证书。

(2)eks节点究竟是使用什么来进行apiserver的认证呢?

上面的分析表明,eks节点不是通过签发客户端证书和apiserver通信的(手动签发实际上会卡在等待issued)。目前唯一能看到的和kubelet与apiserver通信的配置就只有/var/lib/kubelet/kubeconfig文件

手动修改节点上的default凭证会导致节点进入not ready状态,可能是kubelet在使用/usr/bin/aws-iam-authenticator获取tokne后,请求没有权限导致的。

我们直接拿/usr/bin/aws-iam-authenticator生成的token请求apiserver

/usr/bin/aws-iam-authenticator token -i test124
curl -k --header "Authorization: Bearer xxxxxxxxxxxxxxxxxxxx" https://C9611E71A15AC11DE8CF33921D4BC09B.yl4.cn-north-1.eks.amazonaws.com.cn
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {},
  "status": "Failure",
  "message": "forbidden: User \"system:node:ip-192-168-31-153.cn-north-1.compute.internal\" cannot get path \"/\"",
  "reason": "Forbidden",
  "details": {},
  "code": 403
}

# 无权限的请求结果
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {},
  "status": "Failure",
  "message": "Unauthorized",
  "reason": "Unauthorized",
  "code": 401
}

那么接下来的问题在于,为什么修改默认凭证后,过了10-15分钟才会出现无权限的问题

查看源码有如下描述,可见token的超时时间为15分钟

https://github.com/kubernetes-sigs/aws-iam-authenticator/blob/master/pkg/token/token.go#L82

const (
	// The sts GetCallerIdentity request is valid for 15 minutes regardless of this parameters value after it has been
	// signed, but we set this unused parameter to 60 for legacy reasons (we check for a value between 0 and 60 on the
	// server side in 0.3.0 or earlier).  IT IS IGNORED.  If we can get STS to support x-amz-expires, then we should
	// set this parameter to the actual expiration, and make it configurable.
	requestPresignParam = 60
	// The actual token expiration (presigned STS urls are valid for 15 minutes after timestamp in x-amz-date).
	presignedURLExpiration = 15 * time.Minute
	v1Prefix               = "k8s-aws-v1."
	maxTokenLenBytes       = 1024 * 4
	clusterIDHeader        = "x-k8s-aws-id"
	// Format of the X-Amz-Date header used for expiration
	// https://golang.org/pkg/time/#pkg-constants
	dateHeaderFormat   = "20060102T150405Z"
	kindExecCredential = "ExecCredential"
	execInfoEnvKey     = "KUBERNETES_EXEC_INFO"
	stsServiceID       = "sts"
)

单纯将kubeconfig文件修改后是不行的,可能是由于kubelet已经将配置文件读取到内存中了,之后手动删除authenticator,发现过一段时间后出现以下报错

kubelet_node_status.go:539] "Error updating node status, will retry" err="error getting node \"ip-192-168-13-54.cn-north-1.compute.internal\": Get \"https://xxxxxxxxB.yl4.cn-north-1.eks.amazonaws.com.cn/api/v1/nodes/ip-192-168-13-54.cn-north-1.compute.internal?resourceVersion=0&timeout=10s\": getting credentials: exec: fork/exec /usr/bin/aws-iam-authenticator: no such file or directory"

同样在检查5次节点状态后超时,可见kubelet确实是通过authenticator的token来与apiserver通信的

zhaojiew10
关注
  • 46
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AWS V4之ElasticSearch
wleng的博客
12-26 1913
背景 Amazon签名版本4是将身份验证信息添加到HTTP发送的AWS请求的过程。为了安全起见,大多数对AWS的请求必须使用访问密钥进行签名,该访问密钥由访问密钥ID和秘密访问密钥组成。 在使用AWS的ElasticSearch服务时需要对请求,需要将你的aws_access_key_id和aws_secret_access_key作为请求的安全凭证进行安全校验。本文讲述的是进行Web开发...
java webapi 身份验证_如何通过Java API使用AWS Cognito对用户进行身份验证
weixin_39661353的博客
02-27 473
我们正在构建一个带有Web(角度)门户的iOS / Android应用程序(用于管理目的).后端API将使用Java构建,考虑到Web门户可以拥有我正在考虑使用Spring安全性的不同类型的用户.我正在考虑使用我的后端服务来使用AWS Cognito对用户进行身份验证.我不想将iOS / Andorid / Web直接与AWS Cognito集成,因为将来我们可能需要切换到其他提供商.我不确定这是...
Java实现AWS S3 V4 Authorization自定义验证
Gefangenes的博客
06-18 2613
最近在开发文件存储服务,需要符合s3的协议标准,可以直接接入aws-sdk,本文针对sdk发出请求的信息进行重新组合再签名验证有效性,sdk版本如下。
java aws访问授 实例_AWS在Java中获取实例名称
weixin_29061041的博客
03-04 186
我正在用Java开发一个应用程序,我能够列出实例:for (Reservation reservation : result.getReservations()) {for (Instance instance : reservation.getInstances()) {System.out.println("Instance id:"+ instance.getInstanceId());}}...
AWS SDK for Java 的使用(适用于 Java 的 AWS 开发工具包开发人员指南)之配置aws凭证
CaptainJava的博客
11-03 9948
今天接了个新项目,使用的AWS SDK for Java。例如: <dependency> <groupId>com.amazonaws</groupId> <artifactId>aws-java-sdk-bom</artifactId> <version>${...
terraform-eks:适用于AWS EKS的Terraform
02-01
使用Terraform的工作流包括初始化、计划、应用和销毁操作,这些操作都可以通过命令行工具进行。 【kubectl与EKS】 一旦EKS集群通过Terraform部署完成,可以使用`kubectl`命令行工具与集群进行交互,如查看集群状态...
terraform-aws-eks:Terraform模块,可在AWS上创建EKS资源
02-04
用户只需专注于应用程序的容器化和部署,而无需深入理解Kubernetes的复杂性。 【Terraform AWS EKS模块】 `terraform-aws-eks`模块是一个预配置的Terraform配置集合,用于自动化创建EKS集群及其关联资源,例如VPC、...
terraform-aws-eks-jupyterhub:在30分钟内在Kubernetes(AWS EKS)上运行JupyterHub
02-04
创建EKS集群时,Terraform可以配置必要的AWS资源,如EC2实例、IAM角色和限,以及Kubernetes Worker节点。 JupyterHub则是一个多用户版本的Jupyter Notebook服务器,可为用户提供个人工作空间。通过Kubernetes,...
terraform-aws-eks:用于在AWS上创建Elastic Kubernetes(EKS)集群和关联工作程序实例的Terraform模块
01-30
5. 初始化和计划Terraform操作。 6. 应用配置,创建EKS集群和工作节点实例。 7. 部署Kubernetes应用到新创建的EKS集群。 通过`terraform-aws-eks` 模块,用户可以高效地在AWS上设置和管理EKS集群,享受容器化和自动...
terraform-aws-eks-cluster:此存储库展示了我们用于在AWS上设置EKS集群的Terraform
02-04
8. **Terraform工作流**:包括初始化、计划、应用和销毁命令的使用,以及版本控制和协作的最佳实践。 9. **最佳实践**:可能包含如何优化成本、提高安全性、监控和日志记录等方面的指导。 通过这个项目,学习者...
AWS S3 对象存储 API :签名版本的切换 v2 v4
回纹勾边宝相花团
07-30 4351
一、AWS S3 对象存储API 切换签名版本示例 示例代码摘抄自 DELL ECS EMC aws-java-workshop public static AmazonS3 getS3ClientWithV4Signatures() { System.out.println("Running with V4 Signatures:\n"); return getBasicS3ClientBuilder().build(); } public sta
java aws访问授 实例_EC1的AWS IAM限 - 控制特定区域的特定实例的访问
weixin_39729784的博客
03-04 237
我正在尝试使用IAM设置组策略,以便使用特定的vpc访问特定区域的用户 . 在引用AWS文档时,尝试使用vpc ID来过滤实例,因为资源标记不适用于ec2(如果使用EC2,ResourceTag将是更好的选择) . 为此创建了以下规则,但它没有帮助,{ "Version": "2012-10-17","Statement": [ {"Action": ["ec2:RunInstances...
kubelet注册时永久hang住的问题定位
y_chen_007的博客
06-01 1954
问题介绍 上次把k8s从虚拟机迁移到’物理机"后又碰到了一个问题,kubelet重起时报imageFs gabage collector要Evict pod,然后就不往下走,通过Kubect get node hostubuntu -o yaml 可以看到node hostubunut处于DiskPressure状态。主要原因是hostubuntu这台机器是平时的工作占,运行了registry, ...
K8S:node 节点 kubelet 无法加入至 K8S 集群(已批准授
Xucf1
04-16 2961
文章目录K8S:node 节点 kubelet 无法加入至 K8S 集群(已批准授)①故障现象②解决思路 K8S:node 节点 kubelet 无法加入至 K8S 集群(已批准授) ①故障现象 环境:K8S 单节点二进制部署 主机 IP 组件 master01 192.168.126.11 kube-apiserver、kube-controller-manager、kube-scheduler、etcd node01 192.168.126.13 kubelet、kube-pr
kubernetes二进制高可用最新15.1部署
batanj35857的博客
08-11 369
环境:192.168.30.20 VIP(虚拟)192.168.30.21 master1192.168.30.22 master2192.168.30.23 node1192.168.30.24 node2192.168.30.25 k8s-LB1 (master)192.168.30.26 k8s-LB2 (backup) 关闭swap swapoff -a 临时 永久 注释:vi...
kubelet证书过期解决方法
weixin_30588827的博客
10-25 1190
昨天收到报警短信:集群中某node状态为notReady,由于是长期不用的,所以放到今天才有空处理,以下记录处理过程。 查看kubelet日志,发现不停的打印证书过期相关提示信息。 以下操作基于kubernetes集群版本:v1.6.6 kubelete 证书默认有效期一年 1.查看证书有效期,这里使用以前下载的cfssl-certinfo curl -s -L -o /usr...
kubernetes错误 pod故障总结
热门推荐
会哭的雨@的博客
11-02 1万+
万能解决办法: 重启大法好(生产环境三思而后行) 重启容器 重启kubelet 重启systemd 重启机器 一般来说,无论 Pod 处于什么异常状态,都可以执行以下命令来查看 Pod 的状态 kubectl get pod <pod-name> -o yaml 查看 Pod 的配置是否正确 kubectl describe pod <pod-name> 查看 Pod 的事件 kubectl logs <pod-name> [-c <container-
AWS全服务历史年表:发布日期、GA和服务概述一览(一)
最新发布
rralucard123的博客
07-19 1028
需要整理的内容比较多将会分多期进行整理。2018年之后的服务敬请期待下期内容。
AWS EKS和ecs的具体区别
06-13
AWS EKS (Elastic Kubernetes Service) 和 ECS (Elastic Container Service) 都是 AWS 提供的容器服务,但是它们有以下不同之处: 1. EKS 是基于 Kubernetes 的服务,而 ECS 则是 AWS 自己开发的服务。 2. EKS ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值